Aktive Flows in Snort anzeigen

Download-Optionen

  • PDF     (419.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:16. Januar 2025
Dokument-ID:222691

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie mit dem Befehl show snort flows aktive Flows in Snort anzeigen.

    Vergleich mit Vorgängerversion

    Release Comparison

    Funktionsüberblick

    • Die neue CLI zum Anzeigen von Snort-Flows wird zum Anzeigen der aktiven Flows im Snort 3-Flow-Cache verwendet.
    • Hier finden Sie Details zu den aktiven Flows im laufenden Snort 3-Prozess.
    • Die Ausgabe gibt den Status des Snort-Datenflusses, der Quell- und Ziel-IP-Adresse und des Ports an.
    • Es hilft, Probleme in Produktionsumgebungen zu isolieren und zu beheben.
    Spoiler

    HINWEIS: Diese Funktion wurde eingeführt, um aktive Snort-Flows und Clients, Serverzustände des Flows, Timeouts und mehr zu untersuchen.

    Software- und Hardware-Mindestanforderungen

    Minimum Software and Hardware Requirements

    Unterstützung von Snort 3, IPv6, Multi-Instance und HA/Clustering

    • Kompatibel mit IPv4 und IPv6.
    • Erfordert, dass Snort 3 die Erkennungs-Engine ist

    Technical Specifications

    Weitere Aspekte der Unterstützung

    Other Support Aspects

    Funktionsbeschreibung und exemplarische Vorgehensweise

    In diesem Abschnitt finden Sie eine exemplarische Vorgehensweise, einschließlich Ablauf-Timeout und Details zu weiteren Funktionen.

    Neu Show Snort Flows CLI

    > show snort flows
    TCP 0: x1.x1.x1.2/38148 x1.x1.x1.1/22 pkts/bytes client 9/2323 server 6/2105 idle 7s, uptime 7s, timeout 59m53s state client EST server EST
    ICMP 0: x1.x1.x1.2 type 8 x1.x1.x1.1 pkts/bytes client 1/98 server 1/98 idle 0s, uptime 0s, timeout 3m0s
    UDP 0: x1.x1.x1.1/40101 x1.x1.x1.1/12345 pkts/bytes client 3/141 server 0/0 idle 19s, uptime 58s, timeout 2m41s

    Dieses Beispiel zeigt drei Datenflüsse:TCP, ICMP und UDP.

    Für den TCP-Fluss sind die Werte wie folgt:

    • Protokoll - TCP/ICMP/UDP/IP
    • Adressraum-ID - VRF-ID der Schnittstelle
    • Quell-IP/Port: x1.x1.x1.2/38148
    • Ziel-IP/Port: x1,x1,x1,1/22
    • Client-Pakete/Byte - 23.09.2023
    • Server-Pakete/Byte - 6/2015
    • Inaktivität - Zeit seit dem letzten fließenden Paket
    • Betriebszeit - Zeit seit Einrichtung des Ablaufs
    • Timeout - Flow-Timeout
    • Client-Status (nur TCP-Flows) - EST
    • Serverstatus (nur TCP-Flows) - EST

    Client- und Server-Flow-Status

    • Der Client-Status und der Server-Status in der Ausgabe werden nur angezeigt, wenn das Protokoll TCP ist.
    • Dies sind mögliche Werte und was jedes Akronym für jeden Zustand bedeutet:

    Client and Server Flow States

    Filteroptionen

    Der Befehl show snort flows unterstützt Filteroptionen, bei denen nur die Flows ausgegeben werden, die mit den Filtern übereinstimmen.  Die Syntax lautet

    show snort flows <Filteroption> <Wert>

    Die Filteroptionen sind:

    • proto - TCP/UDP/IP/ICMP
    • src_ip - Filtert Datenflüsse nach Quell-IP
    • dst_ip - Filter-Flows nach Ziel-IP
    • src_port - Filtert Datenflüsse nach Quellport
    • dst_port - Filtert Datenflüsse nach Zielport

    Der Befehl > show snort flows proto TCP listet nur TCP-Flows auf:

    TCP 0: x1.x1.x1.2/45508 x1.x1.x1.1/22 pkts/bytes client 10/2389 server 7/2171 idle
    30s, uptime 150s, timeout 59m30s state client CLW server FW2
    Spoiler

    HINWEIS: können Sie auch mehr als einen Filter im Befehl verwenden.  Beispiele,

    > show snort flows proto TCP src_ip x1.x1.x1.2 - Ausgabe von TCP-Flows mit dem src ip x1.x1.x1.2

    Potenzielle Fehlerantwort

    • CLI-Benutzer konnte die Antwort "Der Befehl kann nicht verarbeitet werden. Versuchen Sie es später erneut" erhalten.
    • Dies geschieht beispielsweise, wenn Snort 3 ausgefallen ist, wenn Snort 3 ausgelastet ist oder wenn Snort 3 keine Control-Socket-Befehle verarbeitet (z. B. Threads im Steck-Zustand).
    • Bedingungen für die erfolgreiche Ausführung der CLI:
      • Snort 3 wird ausgeführt.
      • Snort 3 reagiert auf Kontrollbefehle über den UNIX-Domänensockel.

    Beenden der CLI/Ausgabe

    • Wie bei allen CLI-Befehlen können Sie die Eingabeaufforderung durch Drücken von STRG + C aufrufen, aber der Befehl wurde bereits an alle Paket-Threads übergeben und wird in Snort vollständig ausgeführt.
    • Der Befehl ist abgeschlossen, wenn beide Bedingungen zutreffen:
      • Alle Datenflüsse im Datenfluss-Cache wurden angezeigt
      • Alle Flows, die mit den Filtern im CLI-Befehl übereinstimmen, wurden in die Dateien geschrieben, die als Eingabe für den Befehl zur Ausgabe in der CLI dienen.

    Leistungsbezogene Auswirkungen

    • Dies ist eine Debug-CLI. Für jedes Paket, das wir durchlaufen, betrachten wir etwa 100 Flows aus der Flow-Tabelle und drucken die Flows aus, die den Kriterien entsprechen.
    • Das Ausführen von show snort flows hat Auswirkungen auf die Leistung.

    Referenzen

    Häufig gestellte Fragen

    F: Können bei "show snort flows" mehrere Filter verwendet werden?

    A : Ja, die CLI unterstützt die gleichzeitige Bereitstellung von mehr als einem Filter und die Ausgabe von Flows, die mit beiden Filtern übereinstimmen.

    F: Welche Protokolle werden unterstützt?

    A : IP/TCP/UDP/ICMP

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    16-Jan-2025
    Erstveröffentlichung
    1.0
    09-Jan-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Sangeeth Namath
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.