pcapdump – семейство команд для настройки, запуска, остановки и просмотра результатов захвата локальных пакетов, проходящих через NGFW

pcapdump start <name1[,name2[,name3[...]]]>

Запустить захват пакетов на одном или нескольких интерфейсах. Имена интерфейсов нужно указывать через запятую без пробелов.

utils> pcapdump start Ge2,Ge4

pcapdump stop

Остановить захват пакетов.

pcapdump settings direction (in|out|both)

Настроить направление захвата пакетов. По умолчанию both.

utils> pcapdump settings direction in
utils> pcapdump settings direction out
utils> pcapdump settings direction both

pcapdump settings duration <value>

Настроить длительность захвата пакетов в секундах. Допустимые значения 1..600. По умолчанию 30.

utils> pcapdump settings duration 90

pcapdump settings max-frame-size <value>

Настроить максимальный размер записываемых данных сетевого фрейма. Допустимые значения 32..9000. По умолчанию 1514.

utils> pcapdump settings max-frame-size 9000

pcapdump settings max-packets <value>

Настроить максимальное количество сетевых фреймов. Допустимые значения 1..10000. По умолчанию 1000.

utils> pcapdump settings max-packets 5000

pcapdump settings filter-names <name1[,name2[,name3[...]]]>

Указать, нужно ли использовать фильтры захвата пакетов. По умолчанию фильтры отсутствуют, т.е. после команды start будет записываться весь трафик. Нужно указывать имена фильтров, настроенных в разделе pcapdump filters, через запятую без пробелов.

utils> pcapdump settings filter-names ssh,tcp-80

no pcapdump settings filter-names

Очистить фильтры захвата пакетов.

pcapdump filters

Перейти в меню настройки фильтров захвата пакетов.

pcapdump filters> name <filter name>

Создать (или отредактировать уже существующий) фильтр захвата пакетов с именем filter name.

utils> pcapdump filters> name ssh
utils> pcapdump filters> name=['ssh']>

pcapdump filters> name=['ssh']> value <'filter value'>

Указать значение фильтра захвата пакетов с именем name. В качестве filter value нужно указать строку в апострофах, используя синтаксис из раздела Синтаксис фильтров в формате VPP classify.

utils> pcapdump filters> name=['ssh']> value 'mask l3 ip4 proto l4 dst_port match l3 ip4 proto 6 l4 dst_port 22'

pcapdump delete-packet-file

Удалить файл сетевого дампа.

show pcapdump filters

Показать информацию о настроенных фильтрах захватываемых пакетов.

{
  "ngfw-pcapdump:capture-filters": {
    "filters": [
      {
        "name": "tcp-80",
        "value": "mask l3 ip4 proto l4 dst_port match l3 ip4 proto 6 l4 dst_port 80"
      }
    ]
  }
}

show pcapdump settings

Показать информацию о конфигурации захвата пакетов.

utils> show pcapdump settings
{
  "ngfw-pcapdump:settings": {
    "max-packets": 1000,
    "max-frame-size": 1514,
    "direction": "both",
    "duration": 30,
    "capture-filter-names": "tcp-80"
  }
}

show pcapdump packet-file

Показать информацию о файле с сетевым дампом (размер, время записи, имя).

utils> show pcapdump packet-file
579  Jan 27 01:50 2025  /var/traffic_dump.pcap

Синтаксис фильтров в формате VPP classify

mask <mask-value> match <match-value>

<mask-value>:

l2 src dst proto tag1 tag2 ignore-tag1 ignore-tag2 cos1 cos2 dot1q dot1ad

l3 ip4 <ip4-mask>, <ip4-mask>: version hdr_length src[/width] dst[/width] tos length fragment_id ttl protocol checksum

l4 src_port dst_port

<match-value> – к каждому из полей, перечисленных в секции <mask-value>, нужно в таком же формате следом за каждым полем пакета указать желаемые значения.

Примеры:

mask l2 src match l2 src 8C:88:FB:FA:11:44
mask l3 ip4 src match l3 ip4 src 192.168.1.11
mask l3 ip4 src/24 dst/24 match l3 ip4 src 1.2.3.0 dst 4.5.6.0
mask l3 ip4 proto l4 dst_port match l3 ip4 proto 6 l4 dst_port 80

| Prev | Home | Next |