Introduction
Ce document décrit comment utiliser la commande tcpdump afin de capturer les paquets qui sont vus par une interface réseau de votre périphérique Firepower. Il utilise la syntaxe BPF (Berkeley Packet Filter).
Conditions préalables
Conditions requises
Cisco vous recommande de connaître le périphérique Cisco Firepower et les modèles de périphériques virtuels.
Components Used
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Avertissement : Si vous exécutez la commande tcpdump sur un système de production, elle peut affecter les performances du réseau.
Étapes de capture des paquets
Connectez-vous à l'interface de ligne de commande de votre périphérique Firepower.
Dans les versions 6.1 et ultérieures, entrez capture-traffic. Exemple :
> capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set (Interfaces s2p1, s2p2)
Dans les versions 6.0.x.x et antérieures, entrez system support capture-traffic. Exemple :
> system support capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set (Interfaces s2p1, s2p2)
Après avoir effectué une sélection, vous serez invité à saisir les options suivantes :
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:
Pour capturer suffisamment de données des paquets, il est nécessaire d'utiliser l'option -s afin de définir correctement la longueur d'onde. La longueur d'onde doit être définie sur une valeur qui correspond à la valeur MTU (Maximum Transmission Unit) configurée de la configuration du jeu d'interfaces, qui par défaut est 1518.
Avertissement : Étant donné que la capture du trafic à l'écran peut dégrader les performances du système et du réseau, Cisco vous recommande d'utiliser l'option -w <filename> avec la commande tcpdump. Il capture les paquets dans un fichier. Si vous exécutez la commande sans l'option -w, appuyez sur la combinaison de touches Ctrl-C pour quitter.
Exemple d'option -w <filename> :
-w capture.pcap -s 1518
Attention : N'utilisez aucun élément de chemin d'accès lorsque vous spécifiez le nom de fichier de capture de paquets (pcap). Vous devez spécifier uniquement le nom de fichier pcap à créer dans l'appliance.
S'il est souhaitable de capturer un nombre limité de paquets, vous pouvez utiliser l'indicateur -c <packets> afin de spécifier le nombre de paquets à capturer. Par exemple, afin de capturer exactement 5000 paquets :
-w capture.pcap -s 1518 -c 5000
En outre, un filtre BPF peut être ajouté à la fin de la commande afin de limiter les paquets capturés. Par exemple, afin de limiter la capture de paquets à 5 000 paquets avec une adresse IP source ou de destination de 192.0.2.1, vous pouvez utiliser ces options :
-w capture.pcap -s 1518 -c 5000 host 192.0.2.1
Lorsque vous capturez le trafic étiqueté VLAN (Virtual LAN), vous devez spécifier le VLAN avec la syntaxe BPF. Sinon, le paquet pcap ne contient aucun des paquets étiquetés VLAN. Par exemple, cet exemple limite la capture au trafic étiqueté VLAN 192.0.2.1 :
-w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1
Si vous ne savez pas si le trafic est étiqueté VLAN, cette syntaxe peut être utilisée afin de capturer le trafic de 192.0.2.1 qui est et n'est pas étiqueté VLAN :
-w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'
Note: Dans l'exemple précédent, les parenthèses sont nécessaires pour que 'or' ne s'applique pas uniquement à 'vlan'. Les guillemets simples sont alors nécessaires afin d'éviter toute interprétation erronée des parenthèses par le shell.
La spécification d'une étiquette VLAN capture tout le trafic VLAN qui correspond au reste de votre BPF. Cependant, si vous voulez capturer une balise VLAN spécifique, vous pouvez spécifier la balise VLAN que vous voulez capturer comme suit :
-w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1
Après avoir spécifié les options souhaitées et appuyé sur Entrée, tcpdump commence à capturer le trafic.
Astuce : Si l'option -c n'a pas été utilisée, appuyez sur la combinaison de touches Ctrl-C afin d'arrêter la capture.
Une fois la capture arrêtée, vous recevrez une confirmation. Exemple :
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1
Cleaning up.
Done.
Copier un fichier Pcap
Afin de copier un fichier pcap d'un appareil FirePOWER vers un autre système qui accepte les connexions SSH entrantes, utilisez cette commande :
> system file secure-copy hostname username destination_directory pcap_file
Après avoir appuyé sur Entrée, vous serez invité à saisir le mot de passe du système distant. Le fichier sera copié sur le réseau.
Note: Dans cet exemple, le nom d'hôte fait référence au nom ou à l'adresse IP de l'hôte distant cible, le nom d'utilisateur spécifie le nom de l'utilisateur sur l'hôte distant, le répertoire de destination spécifie le chemin de destination sur l'hôte distant et le fichier pcap spécifie le fichier pcap local à transférer.