マネジメント インターフェイスでのパケット キャプチャの取得方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How To Packet Capture (tcpdump) On Management Interface
https://live.paloaltonetworks.com/t5/Management-Articles/How-To-Packet-Capture-tcpdump-On-Management...

 

管理インターフェイスを介してトラフィックが送信/受信されているかどうかの解析/検証が必要となる場合があります。その一例は、認証試験中にリクエストが LDAP または RADIUS サーバーにデバイスから送信されているかどうかの確認があります。別の例としては、デバイスが SNMP サーバーにポーリング/到達されているかどうかを確認することもあります。 PAN-OS 5.0 以降では、管理インタフェイス宛/発の PCAP トラフィックを知ることができます。使用するオプションは厳密に CLI の tcpdump に基づいています。

 

以下例:

このキャプチャは厳密に/暗黙的に管理インターフェイスを利用するため、通常の tcpdump のように手動でインターフェイスを指定する必要はありません。例えば:

tcp22.JPG

: フィルタは引用符で囲む必要があります。:

> tcpdump filter "host 10.16.0.106 and not port 22"

 

キャプチャが完了したら、 Ctrl-C を押しキャプチャを停止します:

tcp222.JPG

CLI でのPCAP を表示するには、view-pcap コマンドを実行します。例:

> view-pcap mgmt-pcap mgmt.pcap

tcp222222.JPG

 

パケット キャプチャ セッションの例:

> tcpdump filter "host 10.16.0.106 and not port 22"

Press Ctrl-C to stop capturing

 

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 68 bytes

^C506 packets captured

1012 packets received by filter

0 packets dropped by kernel

 

> view-pcap mgmt-pcap mgmt.pcap

 

21:19:30.264789 IP 10.16.0.106.61942 > 10.30.14.108.https: . 2376621033:2376621034(1) ack 1605246872 win 505

21:19:30.266422 IP 10.16.0.106.61952 > 10.30.14.108.https: . 996999225:996999226(1) ack 1613111617 win 353

21:19:30.274892 IP 10.16.0.106.61950 > 10.30.14.108.https: . 385255393:385255394(1) ack 1621385090 win 251

21:19:30.294503 IP 10.16.0.106.61951 > 10.30.14.108.https: . 3013860059:3013860060(1) ack 1619361601 win 254

21:19:31.696061 IP 10.16.0.106.61948 > 10.30.14.108.https: . 3206764451:3206764452(1) ack 1612181557 win 256

21:19:31.714608 IP 10.16.0.106.61949 > 10.30.14.108.https: . 3271787020:3271787021(1) ack 1618663520 win 727

21:28:00.170383 IP 10.16.0.106.54641 > 10.30.14.108.snmp:  GetRequest(26) [|snmp]

21:28:15.866735 IP 10.16.0.106.61949 > 10.30.14.108.https: . 20220:20221(1) ack 30253 win 608

21:28:15.944086 IP 10.16.0.106.61948 > 10.30.14.108.https: . 25004:25005(1) ack 31229 win 1175

21:28:16.095081 IP 10.16.0.106.61952 > 10.30.14.108.https: . 23198:23199(1) ack 32575 win 656

21:28:16.234194 IP 10.16.0.106.61950 > 10.30.14.108.https: . 65220:65221(1) ack 68539 win 256

21:28:16.244155 IP 10.16.0.106.61951 > 10.30.14.108.https: . 32492:32493(1) ack 44141 win 254

21:28:16.444185 IP 10.16.0.106.61942 > 10.30.14.108.https: . 23502:23503(1) ack 38660 win 640

 

以下は参照/利用/適用可能なフィルタの一例(これらに限定されるものではありませんが)です。:

  • ポートによるフィルタ
    > tcpdump filter "port 80"
  • 送信元IPによるフィルタ
    > tcpdump filter "src x.x.x.x"
  • 宛先IPによるフィルタ
    > tcpdump filter "dst x.x.x.x"
  • ホスト (送信元 & 宛先) IP によるフィルタ
    > tcpdump filter "host x.x.x.x"
  • ホスト (送信元 & 宛先) IP によるフィルタからSSHを除外する
    > tcpdump filter "host x.x.x.x and not port 22"

 

また、手動で SCP または TFTP を通じて PCAP をエクスポートすることができます。例:

> scp export mgmt-pcap from mgmt.pcap to

  <value>  Destination (username@host:path)

 

> tftp export mgmt-pcap from mgmt.pcap to

  <value>  tftp host

 

: PA-200、PA-500、PA-2000では、デフォルトでパケットあたり最大68バイト(Snap Length) の制限があります。 PA-3000、PA-4000、PA-5000の場合は、デフォルトの制限はパケットあたり96バイトです。この制限を拡張するには、"snaplen" オプションを使用します。.

 

以下も参照

Tcpdump Packet Capture Truncated

 

著者: bryan