المقدمة
يصف هذا المستند التقاط الحزم على Cisco Secure Web Appliance (SWA) وأجهزة أمان البريد الإلكتروني (ESA) وأجهزة إدارة الأمان (SMA).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- إدارة جهاز أمان المحتوى من Cisco.
توصي Cisco بأن يكون لديك:
- تم تثبيت SWA/ESA/SMA المادية أو الافتراضية.
- الوصول الإداري إلى واجهة المستخدم الرسومية (GUI) عبر شبكة SWA/ESA/SMA.
- الوصول الإداري إلى واجهة سطر الأوامر (CLI) ل SWA/ESA/SMA
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
تنفيذ التقاط الحزمة من واجهة المستخدم الرسومية
لتنفيذ التقاط الحزمة من واجهة المستخدم الرسومية، أستخدم الخطوات التالية:
الخطوة 1. سجل الدخول إلى واجهة المستخدم الرسومية.
الخطوة 2. من أعلى يمين الصفحة أختر الدعم والتعليمات.
الخطوة 3. حدد التقاط الحزمة.
الصورة- التقاط الحزمة
الخطوة 4. (إختياري) لتحرير المرشح الحالي أختر تحرير الإعدادات. (لمزيد من المعلومات حول عوامل التصفية، الرجاء التحقق من قسم عوامل التصفية في هذا المستند)
الخطوة 5. ابدأ الالتقاط.
الصورة - حالة التقاط الحزمة وعوامل التصفية
ملاحظة: الحد الأقصى لحجم ملف التقاط الحزمة هو 200 ميجابايت. عندما يبلغ حجم الملف 200 ميجابايت، يتوقف التقاط الحزمة.
يظهر قسم التقاط الحزمة الحالية حالة التقاط الحزمة، بما في ذلك حجم الملف وعوامل التصفية المطبقة.
الصورة - حالة التقاط الحزمة
الخطوة 6. لإيقاف التقاط الحزمة الجاري تشغيله، انقر على إيقاف التقاط.
الخطوة 7. لتنزيل ملف التقاط الحزمة، أختر الملف من قائمة إدارة ملفات التقاط الحزم وانقر فوق تنزيل الملف.
صورة- تنزيل التقاط الحزمة
تلميح: يوجد أحدث ملف في أعلى القائمة.
الخطوة 8. (إختياري) لحذف أي ملف التقاط حزمة، أختر الملف من قائمة إدارة ملفات التقاط الحزم وانقر حذف الملفات المحددة.
تنفيذ التقاط الحزمة من CLI
يمكنك بدء التقاط الحزمة من CLI أيضا باستخدام الخطوات التالية:
الخطوة 1. سجل الدخول إلى واجهة سطر الأوامر.
الخطوة 2. اكتب packetcapture واضغط Enter.
الخطوة 3. (إختياري) لتحرير إعداد نوع المرشح الحالي. (للحصول على مزيد من المعلومات حول عوامل التصفية، الرجاء التحقق من قسم عوامل التصفية في هذا المستند.)
الخطوة 4. أختر بدء لبدء الالتقاط.
SWA_CLI> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
الخطوة 5. (إختياري) يمكنك عرض حالة التقاط الحزمة باختيار الحالة:
Choose the operation you want to perform:
- STOP - Stop packet capture.
- STATUS - Display current capture status.
- SETUP - Change packet capture settings.
[]> STATUS
Status: Capture in progress
File Name: S100V-420DFA7B8265ED011535-71BAE3E9E084-20241006-130426.cap
File Size: 0K
Duration: 45s
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
الخطوة 6. لإيقاف التقاط الحزمة، اكتب STOP واضغط Enter:
ملاحظة: لتنزيل ملف (ملفات) التقاط الحزمة التي تم تجميعها من واجهة سطر الأوامر، يمكنك تنزيلهم من واجهة المستخدم الرسومية (GUI) أو الاتصال بالجهاز عبر بروتوكول نقل الملفات (FTP) وتنزيلهم من مجلد الالتقاط.
عوامل التصفية
فيما يلي بعض الأدلة حول المرشحات التي يمكنك إستخدامها في أجهزة أمان المحتوى.
التصفية حسب عنوان IP للمضيف
التصفية حسب IP المضيف في واجهة المستخدم الرسومية (GUI)
للتصفية حسب المضيف عنوان، من ال gui، هناك إثنان خيار:
- عوامل التصفية المحددة مسبقا
- عوامل التصفية المخصصة
لاستخدام عوامل التصفية المحددة مسبقا من واجهة المستخدم الرسومية:
الخطوة 1. في صفحة التقاط الحزمة، أختر تحرير الإعدادات.
الخطوة 2. من عوامل تصفية التقاط الحزم، حدد عوامل التصفية المحددة مسبقا.
الخطوة 3. يمكنك إدخال عنوان IP في قسم Client IP أو Server IP.
ملاحظة: لا يقتصر الاختيار بين عنوان IP للعميل أو عنوان IP للخادم على عنوان المصدر أو عنوان الوجهة. على قبض هذا مرشح كل الربط مع العنوان يعين كمصدر أو غاية.
الصورة- التصفية حسب IP المضيف من عوامل تصفية GUI المحددة مسبقا
الخطوة 4. إرسال التغييرات.
الخطوة 5. ابدأ الالتقاط.
تلميح: لا توجد حاجة لتنفيذ التغييرات، أو عامل التصفية الذي تمت إضافته حديثا والذي تم تطبيقه على الالتقاط الحالي. يساعد تنفيذ التغييرات في حفظ عامل التصفية للاستخدام المستقبلي.
لاستخدام عوامل التصفية المخصصة وعوامل التصفية المحددة مسبقا من واجهة المستخدم الرسومية:
الخطوة 1. في صفحة التقاط الحزمة، أختر تحرير الإعدادات.
الخطوة 2. من عوامل تصفية التقاط الحزم حدد عامل تصفية مخصص.
الخطوة 3. أستخدم بناء جملة المضيف متبوعا بعنوان IP.
هنا مثال أن مرشح all the حركة مرور مع مصدر أو غاية عنوان 10.20.3.15
host 10.20.3.15
تلميح: للتصفية حسب أكثر من عنوان IP يمكنك إستخدام معاملات منطقية مثل أو وو(حروف صغيرة فقط).
الصورة- مرشح مخصص لعنوانين IP
الخطوة 4. إرسال التغييرات.
الخطوة 5. بدء الالتقاط
التصفية حسب IP المضيف في CLI
للتصفية حسب عنوان IP المضيف من CLI:
الخطوة 1. سجل الدخول إلى واجهة سطر الأوامر.
الخطوة 2. اكتب packetcapture واضغط enter.
الخطوة 3. لتحرير إعداد نوع المرشح الحالي.
الخطوة 4. أجب على الأسئلة حتى تصل إلى أدخل عامل التصفية الذي سيتم إستخدامه للالتقاط
الخطوة 5. يمكنك إستخدام نفس سلسلة عامل التصفية مثل عامل التصفية المخصص في واجهة المستخدم الرسومية (GUI).
هنا مثال من ييصفي كل الحركة مرور مع مصدر أو غاية عنوان 10.20.3.15 أو 10.0.0.60
SWA_CLI> packetcapture
Status: No capture running (Capture stopped by user)
File Name: S100V-420DFA7B8265ED011535-71BAE3E9E084-20241006-130426.cap
File Size: 4K
Duration: 2m 2s
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP
Enter maximum allowable size for the capture file (in MB)
[200]>
Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]> y
The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>
Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> host 10.20.3.15 or host 10.0.0.60
التصفية حسب رقم المنفذ
التصفية حسب رقم المنفذ في واجهة المستخدم الرسومية (GUI)
للتصفية حسب رقم (أرقام) المنفذ، من واجهة المستخدم الرسومية (GUI) هناك خياران:
- عوامل التصفية المحددة مسبقا
- عوامل التصفية المخصصة
لاستخدام عوامل التصفية المحددة مسبقا من واجهة المستخدم الرسومية:
الخطوة 1. في صفحة التقاط الحزمة، أختر تحرير الإعدادات.
الخطوة 2. من عوامل تصفية التقاط الحزم حدد عوامل التصفية المحددة مسبقا.
الخطوة 3. في قسم المنافذ، اكتب أرقام المنافذ التي تريد تصفيتها.
تلميح: يمكنك إضافة رقم منفذ متعدد عن طريق فصلهم بفاصلة " ، ".
الصورة - التصفية حسب رقم المنفذ
الخطوة 4. إرسال التغييرات.
الخطوة 5. ابدأ الالتقاط.
تحذير: على قبض هذا النهج حركة مرور TCP فقط باستخدام أرقام المنافذ المحددة. لالتقاط حركة مرور UDP، أستخدم عامل التصفية المخصص.
لاستخدام عوامل التصفية المخصصة من واجهة المستخدم الرسومية:
الخطوة 1. في صفحة التقاط الحزمة، أختر تحرير الإعدادات.
الخطوة 2. من عوامل تصفية التقاط الحزم حدد عامل تصفية مخصص.
الخطوة 3. أستخدم بناء جملة المنفذ متبوعا برقم المنفذ.
الصورة - مرشح مخصص حسب رقم المنفذ
ملاحظة: إن يستعمل أنت فقط ميناء، هذا مرشح يغطي كلا من TCP و UDP ميناء.
الخطوة 4. إرسال التغييرات.
الخطوة 5. ابدأ الالتقاط.
التصفية حسب رقم المنفذ في CLI
للتصفية حسب رقم المنفذ من CLI:
الخطوة 1. سجل الدخول إلى واجهة سطر الأوامر.
الخطوة 2. اكتب packetcapture واضغط enter.
الخطوة 3. لتحرير إعداد نوع المرشح الحالي.
الخطوة 4. أجب على الأسئلة حتى تصل إلى أدخل عامل التصفية الذي سيتم إستخدامه للالتقاط
الخطوة 5. يمكنك إستخدام نفس سلسلة عامل التصفية مثل عامل التصفية المخصص في واجهة المستخدم الرسومية (GUI).
هنا مثال من ييصفي كل الحركة مرور مع مصدر أو غاية ميناء رقم 53، ل كلا من TCP و UDP ميناء:
SWA_CLI> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP
Enter maximum allowable size for the capture file (in MB)
[200]>
Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]>
The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>
Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> port 53
التصفية في SWA باستخدام النشر الشفاف
في SWA مع نشر شفاف، بينما يكون اتصال بروتوكول إتصالات ذاكرة التخزين المؤقت للويب (WCCP) عبر أنفاق تضمين التوجيه العام (GRE)، فإن عناوين IP للمصدر والوجهة في الحزم القادمة إلى SWA أو الخارجة منها هي عنوان IP للموجه وعنوان IP ل SWA.
أن يكون قادر أن يجمع الربط التقاط مع عنوان أو ميناء رقم من GUI هناك إثنان خيار:
- عوامل التصفية المحددة مسبقا
- عوامل التصفية المخصصة
التصفية في SWA مع النشر الشفاف في GUI
الخطوة 1. في صفحة التقاط الحزمة، أختر تحرير الإعدادات.
الخطوة 2. من عوامل تصفية التقاط الحزم، حدد عوامل التصفية المحددة مسبقا.
الخطوة 3. يمكنك إدخال عنوان IP في قسم Client IP أو Server IP.
الصورة - تكوين عنوان IP في عوامل تصفية التعريف المسبق
الخطوة 4. إرسال التغييرات.
الخطوة 5. ابدأ الالتقاط.
ملاحظة: يمكنك أن ترى بعد إرسال المرشح، أن SWA أضاف شروط إضافية في قسم المرشح المحدد.
الصورة - عوامل التصفية الإضافية التي تمت إضافتها بواسطة SWA لتجميع الحزم داخل نفق GRE
لاستخدام عوامل التصفية المخصصة من واجهة المستخدم الرسومية:
الخطوة 1. في صفحة التقاط الحزمة، أختر تحرير الإعدادات.
الخطوة 2. من عوامل تصفية التقاط الحزم، حدد عامل تصفية مخصص
الخطوة 3. أضف هذه السلسلة أولا، ثم يتبعها المرشح الذي تخطط لتنفيذه بإضافة أو بعد هذه السلسلة:
(proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c)
على سبيل المثال. إذا كنت تخطط للتصفية حسب IP المضيف يساوي 10.20.3.15 أو رقم المنفذ يساوي 8080، فيمكنك إستخدام هذه السلسلة:
(proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) or host 10.20.3.15 or port 8080
الخطوة 4. إرسال التغييرات.
الخطوة 5. ابدأ الالتقاط.
التصفية في SWA باستخدام النشر الشفاف في CLI
للتصفية في نشر وكيل شفاف من CLI:
الخطوة 1. سجل الدخول إلى واجهة سطر الأوامر.
الخطوة 2. اكتب packetcapture واضغط Enter.
الخطوة 3. لتحرير إعداد نوع المرشح الحالي.
الخطوة 4. أجب على الأسئلة حتى تصل إلى أدخل عامل التصفية الذي سيتم إستخدامه للالتقاط
الخطوة 5. يمكنك إستخدام نفس سلسلة عامل التصفية مثل عامل التصفية المخصص في واجهة المستخدم الرسومية (GUI).
هنا مثال للتصفية حسب المضيف يساوي 10.20.3.15 أو رقم المنفذ يساوي 8080:
SWA_CLI> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP
Enter maximum allowable size for the capture file (in MB)
[200]>
Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]>
The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>
Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> (proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) or host 10.20.3.15 or port 8080
عوامل التصفية الأكثر شيوعا
فيما يلي جدول يسرد عوامل التصفية الأكثر شيوعا:
الوصف
|
تصفية
|
التصفية حسب عنوان IP للمصدر يساوي 10.20.3.15
|
src مضيف 10.20.3.15
|
التصفية حسب عنوان IP للوجهة يساوي 10.20.3.15
|
DST Host 10.20.3.15
|
التصفية حسب عنوان IP للمصدر يساوي 10.20.3.15 وعنوان IP للوجهة يساوي 10.0.0.60
|
(مضيف SRC 10.20.3.15) و(مضيف dst 10.0.0.60)
|
التصفية حسب عنوان IP المصدر أو الوجهة يساوي 10.20.3.15
|
المضيف 10.20.3.15
|
التصفية حسب عنوان IP المصدر أو الوجهة يساوي 10.20.3.15 أو يساوي 10.0.0.60
|
المضيف 10.20.3.15 أو المضيف 10.0.0.60
|
التصفية بواسطة رقم منفذ TCP يساوي 8080
|
منفذ TCP 8080
|
التصفية حسب رقم منفذ UDP يساوي 53
|
UDP ميناء 53
|
التصفية حسب رقم المنفذ الذي يساوي 514 (TCP أو UDP)
|
المنفذ 514
|
تصفية حزم UDP فقط
|
udp
|
تصفية حزم ICMP فقط
|
icmp
|
عامل التصفية الرئيسي المطلوب إستخدامه لكل التقاط في حالة النشر الشفاف
|
(proTO gre & ip[40:4] = 0x0a14030f) أو (proto gre & ip[44:4] = 0x0a14030f) أو (proto gre & ip[40:4] = 0x0a0003c) أو (proto gre & ip[44:4] = 0x0a0003c)
|
تحذير: كل المرشحات تكون حالات حساسة.
استكشاف الأخطاء وإصلاحها
"خطأ عامل التصفية" هو أحد الأخطاء الأكثر شيوعا أثناء تنفيذ التقاط الحزمة.
صورة - خطأ مرشح
عادة ما يكون هذا الخطأ مرتبطا بتطبيق خاطئ للتصفية. في المثال السابق، يكون عامل تصفية ICMP باستخدام الحروف الكبيرة. هذا هو السبب في إستلام خطأ عامل التصفية. لإصلاح هذه المشكلة، يلزمك تحرير عامل التصفية واستبدال ICMP ب ICMP.
معلومات ذات صلة