概要
この資料に Sourcefire アプライアンスのネットワーク インターフェイスによって見られるパケットをキャプチャ する tcpdump コマンドを使用する方法を記述されています。 それはバークレー パケットフィルタ(BPF)構文を使用します。
前提条件
要件
Sourcefire FirePOWER デバイスとバーチャル デバイスのモデルに関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。
- Sourcefire FirePOWER 7000 シリーズ アプライアンス、8000 シリーズ アプライアンス、および NGIPS 仮想アプライアンス
- Sourcefire ソフトウェア バージョン 5.0 以降
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
警告: 生産システムの tcpdump コマンドを実行する場合、ネットワークパフォーマンスに影響を与えることができます。
ハードウェア要件
この指示は Sourcefire FirePOWER 7000 シリーズ アプライアンス、8000 シリーズ アプライアンスおよび NGIPS バーチャルで適当アプライアンスです。
ソフトウェア要件
この指示はソフトウェア バージョン 5.0 で適当またはより大きいです。
パケットをキャプチャ するステップ
CLI では、システム 支援キャプチャ トラフィックを入力して下さい。 次に、例を示します。
> system support capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set (Interfaces s2p1, s2p2)
選択後、オプションのためにプロンプト表示されます:
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:
パケットからの十分なデータをキャプチャ するために、snaplength を正しく設定 する- s オプションを使用することは必要です。 snaplength は 1518 にデフォルトで設定される、インターフェイス一定設定の設定された最大伝送ユニット (MTU)値と一致する値に設定 する必要があります。
警告: 画面へのトラフィックをキャプチャ することがシステムおよびネットワークのパフォーマンスを低下できるので Cisco は tcpdump コマンドで- w <filename> オプションを使用するために推奨します。 それはファイルにパケットをキャプチャ します。 なしでコマンドを実行すれば- w オプションは、Ctrl + 終了するべき c キーコンビネーション押します。
- w <filename> オプションの例:
-w capture.pcap -s 1518
注意: pcap ファイル名を規定 した場合パス要素を使用しないで下さい。 アプライアンスで作成されるべき pcap ファイル名だけ指定して下さい。
パケットの限られた数をキャプチャ すればことは好ましい場合キャプチャ するためにパケットの数を規定 するのに- c <packets> フラグを使用できます。 たとえば、5000 のパケットを丁度キャプチャ するため:
-w capture.pcap -s 1518 -c 5000
さらに、BPF フィルタはコマンドの終わりにどのパケットがキャプチャ されるか制限するために追加することができます。 たとえば、192.0.2.1 のソースまたは宛先 IP アドレスの 5000 のパケットにパケットキャプチャを制限するために、次のオプションを使用する可能性があります:
-w capture.pcap -s 1518 -c 5000 host 192.0.2.1
タグ付けされるバーチャルLAN (VLAN)であるトラフィックをキャプチャ して いるとき BPF 構文を使用して VLAN を規定 して下さい。 さもなければ、pcap は VLAN タグ付きパケットがのうちのどれも含まれていません。 たとえば、以下はトラフィックに 192.0.2.1 からタグ付けされる VLAN であるキャプチャを制限します:
-w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1
トラフィックがタグ付けされる VLAN である場合不確実ならタグ付けされる VLAN あり、ない次の構文が 192.0.2.1 からのトラフィックをキャプチャ するのに使用できます:
-w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'
注: 前述の例では、かっこは「または」だけでなく、「VLAN に」適用するように必要です。 単一 引用符はシェルによってそれからかっこの可能性のある誤解を防ぐために必要とされます。
VLAN タグを規定 して BPF の他と一致するすべての VLANトラフィックをキャプチャ します。 ただし、仕様 VLAN タグをキャプチャ したいと思えば VLAN タグがそうのようにキャプチャ することを望む規定できます:
-w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1
望ましいオプションを規定 することおよび『Enter』 を押すことの後で、tcpdump はトラフィックをキャプチャ し始めます。
ヒント: - c オプションは使用されませんでしたり、Ctrl + キャプチャを停止する c キーコンビネーション押します。
キャプチャを停止すれば、確認を受け取ります。 次に、例を示します。
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1
Cleaning up.
Done.
Pcap ファイルをコピーして下さい
pcap ファイルを受信 SSH 接続を許可する FirePOWER アプライアンスから別のシステムにコピーするために、次のコマンドを使用して下さい:
> system file secure-copy hostname username destination_directory pcap_file
『Enter』 を押した後、リモート システムへのパスワードのためにプロンプト表示されます。 ファイルはネットワークを渡ってコピーされます。
注: この例では、ホスト名はターゲット リモートホストの名前か IP アドレスを示します、ユーザ名はリモートホストのユーザの名前を規定 します、destination_directory リモートホストの宛先パスを規定 し、pcap_file 転送のためのローカル pcap ファイルを規定 します。
フィードバック