Cisco – IronPort – Utilisation de « Packet Capture »

Packet Capture est un outil permettant de réaliser une capture de trame dans le cadre d’un debug des flux transitant à travers un équipement CISCO IronPort qui fonctionne avec  le système d’exploitation AsyncOS. Cette commande est similaire à l’outil TcpDump (également disponible sur AsyncOS).

Ci-dessous un exemple d’utilisation de l’outil Packet Capture en CLI (ligne de commande). Cet outil est également disponible via la GUI du proxy IronPort (via le menu Help > Packet). L’exemple d’utilisation qui suit a été effectué sur un équipement disposant de la version 7.1.x d’AsyncOS en fonctionnement sur un IronPort S660.

Pour voir les options de l’outil il suffit d’insérer la commande « packetcapture »:

IronportS660> packetcapture
packetcapture
 
    Captures packets off the network.
 
    All tcpdump style filters are supported (for example: tcp port 80 && tcp
    port 3128).
 
    The command runs in the background and writes the capture data to a file in
    the ‘captures’ directory.
 
    packetcapture [start] [stop] [status]
 
    packetcapture [-C file_size] [-i comma separated list of interfaces]
                  [expression]
 
    Starts packet capture using the user specified settings.
 
    File size is in MB.
    File size should be a positive non-zero integer less than 200.
 
    Packets are captured from the interface provided.
 
    If expression is specified, then use that filter for packet capture.
 
La première étape consiste à créer un filtre si l’on souhaite capturer les paquets pour une source où une destination donnée :
 packetcapture -i <nom_de_l’interface> host <@_ip>
IronportS660> packetcapture -i P2 host 192.168.254.254
 
Success – Packet capture is started
 
File Name:          S660-CAPTURE.cap
Max file size:      200 MB
Capture Limit:      None (Run Indefinitely)
Capture Interfaces: P2
Capture Filter:     host 192.168.254.254
La seconde étape consiste a démarrer ma capture des données :
IronportS660> packetcapture start
 
Success – Packet capture is started
 
File Name:         S660-CAPTURE.capp
Max file size:      200 MB
Capture Limit:      None (Run Indefinitely)
Capture Interfaces: P2
Capture Filter:     host 192.168.254.254
La dernière étape consiste a arrêter la capture qui est par défaut limitée à 200 MB maximum :
IronportS660> packetcapture stop
 
Packet capture stopped
File name: S660-CAPTURE.cap
File size: 1K
Duration : 1m 28s
IronportS660>
 
Enfin pour récupérer le fichier .cap il est nécessaire d’utiliser un client FTP afin de se connecter sur l’équipement et parcourir le répertoire « /captures » afin d’y trouver le fichier.

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *