Enkel pakke fanger rett fra Cisco ASA-brannmuren

Enten du feilsøker et vanskelig problem eller jager litt interessant trafikk, trenger du noen ganger å hente en pakkefangst. Selvfølgelig kan du konfigurere og distribuere en sniffer, men det er ikke den eneste løsningen du har til fingerspissene. Du kan trekke pakkefangst direkte fra Cisco ASA-brannmuren. Cisco ASA gjør dette til en enkel prosess.

Det er minst to måter å konfigurere ASA til å fange pakker på. Hvis du foretrekker GUI-grensesnittet til ASDM, kan du bruke pakkefangstverktøyet ved å velge det fra veivisermenyen.

Imidlertid har jeg funnet ut at hvis du ikke har noe imot å få skitne hender, så å si, så er CLI-grensesnittet veien å gå. Du kan identifisere trafikken du leter etter med en ACL og deretter sette grensesnittet slik at det fanges opp basert på ACL-resultatene. Her er et eksempel på hvor enkelt det er å gjøre dette.

I dette eksemplet ønsker jeg å fange opp alle IP-pakker mellom en vert på 192.168.80.51 og testen ASA på 192.168.81.52.

Det første trinnet er å sette en rask ACL:

 tilgangsliste testcap utvidet tillatelse ip host 192.168.80.51 vert 192.168.81.52 

Deretter setter vi opp fangsten ved hjelp av fangstkommandoen . Vi vil referere til ACL (testcap) som den "interessante" trafikken vår, og vi vil spesifisere hvilket grensesnitt vi vil se på:

 myasa # capture testcap-grensesnittet inni 

Riktignok er dette sannsynligvis kommandoen i sin enkleste form. Det er mange alternativer du kan konfigurere som en del av denne kommandoen, inkludert innstilling av bufferstørrelser, innstilling av en sirkulær buffer som overskriver seg selv når den er full, og velg webvpn eller isakmp-trafikk. Poenget er at med to raske kommandoer har vi en pakkefangst i gang! Det blir bare ikke mye enklere enn det.

En rask show capture- kommando bekrefter at fangsten min kjører.

 myasa # sh fange 
 fange testdata type rådata-grensesnitt INN Fange - 4314 byte 

For å stoppe fangsten bruker du ingen form for denne kommandoen.

 myasa # no capture testcap 
La oss se på resultatene. Her igjen har vi valg. Vi kan se på trafikken via en nettleser direkte fra ASA ved å åpne en http-kobling ( figur A ) slik:
 https://192.168.81.52/admin/capture/testcap 

Figur A

Klikk for å forstørre.

Mens vi ser trafikken og mye av informasjonen, kan vi ikke se alle detaljene rundt en vanlig pakkefangst. Vi kan imidlertid lagre denne informasjonen som en libpcap-fil med følgende kommando, og deretter åpne denne filen med Wireshark eller slikt.

 https://192.168.81.52/capture/testcap/pcap 
Figur B viser denne filen når den åpnes med Wireshark.

Figur B

Klikk for å forstørre.

Kommandolinjen inneholder også alternativer for å se på dataene dine.

 myasa # show capture testcap? 
 tilgangsliste Vis pakker som samsvarer med tilgangslisten 
 count Visning av pakker i fangst 
 dekode Vis dekodeinformasjon for hver pakke 
 detalj Vis mer informasjon for hver pakke 
 dump Vis sekskantdump for hver pakke 
 pakkenummer Vis pakke i fangst 
 trace Vis utvidet sporinformasjon for hver pakke 
 | Utgangsmodifiserere 

La oss se på de ni første pakkene.

 myasa # show capture testcap count 9 
 4532 pakker fanget 
 1: 13: 46: 31.052746 192.168.81.52.22> 192.168.80.51.2057: P 1290581619: 1290581687 (68) ack 941116409 win 8192 
 2: 13: 46: 31.052884 192.168.80.51.2057> 192.168.81.52.22 :. ack 1290581687 vinn 65207 
 3: 13: 46: 38.374583 arp who-has 192.168.80.219 fortelle 192.168.82.51 
 4: 13: 46: 38.521655 arp who-has 192.168.80.204 tell 192.168.82.51 
 5: 13: 46: 39.803120 192.168.81.52.443> 192.168.80.51.3968: P 787673978: 787675438 (1460) ack 3043311886 win 8192 
 6: 13: 46: 39.803150 192.168.81.52.443> 192.168.80.51.3968: P 787675438: 787675589 (151) ack 3043311886 seier 8192 
 7: 13: 46: 39.803257 192.168.81.52.443> 192.168.80.51.3968: P 787675589: 787677049 (1460) ack 3043311886 seier 8192 
 8: 13: 46: 39.803272 192.168.81.52.443> 192.168.80.51.3968: P 787677049: 787677200 (151) ack 3043311886 seier 8192 
 9: 13: 46: 39.803287 192.168.81.52.443> 192.168.80.51.3968: P 787677200: 787677883 (683) ack 3043311886 seier 8192 
 9 pakker vist 

Vi kan også se på en hel pakke fra CLI.

 myasa # show capture testcap detalj pakke-nummer 5 dump 
 4532 pakker fanget 
 5: 13: 46: 39.803120 0022.5597.25b9 0014.3815.89fb 0x0800 1514: 192.168.81.52.443> 192.168.80.51.3968: P tcp sum ok 787673978: 787675438 (1460) ack 30 43311886 win 8195, tt 54032) 
 0x0000 4500 05dc d310 0000 ff06 c052 c0a8 5134 E .......... R..Q4 
 0x0010 c0a8 5033 01bb 0f80 2ef2 f37a b565 410e ..P3 ....... z.eA. 
 0x0020 5018 2000 5488 0000 1703 0106 4654 db31 P. .T ....... FT.1 
 0x0030 b3d4 0a5b 3295 f719 d82a 8767 6b8b dae1 ... 2 .... *. Gk ... 
 0x0040 0a54 0ea8 c8c4 1c61 c45c e321 452e 6ab6 .T ..... a. \.! Ej 
 0x0050 ba80 4e94 3801 d973 b4fe 97d4 8b2f 9e77 ..N.8..s ..... /. W 

* Bare et delvis resultat vises.

Så lagre maskinvare- eller bærbare datamaskiner for andre deler av nettverket. Bruk ASAen din til å samle de kodestykkene av nettverkstrafikken du trenger. Men husk: Vær generelt snill mot din ASA. Når det er mulig, opprett spesifikke ACL-er for å avgrense trafikken du vil fange. Overvåk ASA mens du tar pakker og juster buffere hvis du trenger det. Og som alltid, se www.cisco.com for mer detaljert informasjon.

Vil du lære mer om ruter- og bryteradministrasjon? Registrer deg automatisk på vårt gratis nyhetsbrev fra Cisco Technology, levert hver fredag!

© Copyright 2021 | pepebotifarra.com