Introducción
Este documento describe cómo utilizar el comando tcpdump para capturar paquetes que son vistos por una interfaz de red de su dispositivo Firepower. Utiliza la sintaxis del filtro de paquetes Berkeley (BPF).
Prerequisites
Requirements
Cisco recomienda que conozca los dispositivos Cisco Firepower y los modelos de dispositivos virtuales.
Componentes Utilizados
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Advertencia: Si ejecuta el comando tcpdump en un sistema de producción, puede afectar el rendimiento de la red.
Pasos para capturar paquetes
Inicie sesión en la CLI de su dispositivo Firepower.
En las versiones 6.1 y posteriores, ingrese capture-traffic. Por ejemplo,
> capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set (Interfaces s2p1, s2p2)
En las versiones 6.0.x.x y anteriores, ingrese system support capture-traffic. Por ejemplo,
> system support capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set (Interfaces s2p1, s2p2)
Después de realizar una selección, se le solicitarán opciones:
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:
Para capturar suficientes datos de los paquetes, es necesario utilizar la opción -s para configurar la longitud de la secuencia correctamente. La longitud de inicialización se debe establecer en un valor que coincida con el valor de unidad máxima de transmisión (MTU) configurado de la configuración del conjunto de interfaces, que de forma predeterminada es 1518.
Advertencia: Dado que la captura del tráfico en la pantalla puede degradar el rendimiento del sistema y de la red, Cisco recomienda que utilice la opción -w <filename> con el comando tcpdump. Captura los paquetes en un archivo. Si ejecuta el comando sin la opción -w, presione la combinación de teclas Ctrl-C para salir.
Ejemplo de la opción -w <filename>:
-w capture.pcap -s 1518
Precaución: No utilice ningún elemento de ruta de acceso cuando especifique el nombre de archivo de captura de paquetes (pcap). Debe especificar sólo el nombre de archivo pcap que se creará en el dispositivo.
Si es deseable capturar un número limitado de paquetes, puede utilizar el indicador -c <packets> para especificar el número de paquetes que se capturarán. Por ejemplo, para capturar exactamente 5000 paquetes:
-w capture.pcap -s 1518 -c 5000
Además, se puede agregar un filtro BPF al final del comando para limitar los paquetes capturados. Por ejemplo, para limitar la captura de paquetes a 5000 paquetes con una dirección IP de origen o destino de 192.0.2.1, podría utilizar estas opciones:
-w capture.pcap -s 1518 -c 5000 host 192.0.2.1
Cuando captura el tráfico que está etiquetado como LAN virtual (VLAN), debe especificar la VLAN con la sintaxis de BPF. De lo contrario, el pcap no contiene ninguno de los paquetes etiquetados de VLAN. Por ejemplo, este ejemplo limita la captura al tráfico que se etiqueta VLAN desde 192.0.2.1:
-w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1
Si no está seguro de si el tráfico está etiquetado en VLAN, esta sintaxis podría utilizarse para capturar el tráfico de 192.0.2.1 que está etiquetado en VLAN y no lo está:
-w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'
Nota: En el ejemplo anterior, los paréntesis son necesarios para que el or no se aplique solamente a 'vlan'. Las citas únicas son entonces necesarias para evitar cualquier posible interpretación errónea de los paréntesis por parte del intérprete de órdenes.
La especificación de una etiqueta VLAN captura todo el tráfico VLAN que coincide con el resto de su BPF. Sin embargo, si desea capturar una etiqueta VLAN específica, puede especificar la etiqueta VLAN que desea capturar de la forma siguiente:
-w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1
Después de especificar las opciones deseadas y presionar Enter, tcpdump comienza a capturar el tráfico.
Consejo: Si la opción -c no se utilizó, presione la combinación de teclas Ctrl-C para detener la captura.
Una vez detenga la captura, recibirá confirmación. Por ejemplo:
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1
Cleaning up.
Done.
Copiar un archivo Pcap
Para copiar un archivo pcap de un dispositivo FirePOWER a otro sistema que acepte conexiones SSH entrantes, utilice este comando:
> system file secure-copy hostname username destination_directory pcap_file
Después de presionar Enter, se le solicitará la contraseña del sistema remoto. El archivo se copiará a través de la red.
Nota: En este ejemplo, el hostname se refiere al nombre o la dirección IP del host remoto de destino, el username especifica el nombre del usuario en el host remoto, el destination_directory especifica la ruta de destino en el host remoto y el pcap_file especifica el archivo pcap local para la transferencia.