Cisco IOS: Embedded Packet Capture

Posted by Karsten on Mai 2, 2009 · 3 Kommentare 

routerViele Cisco-Geräte erlauben es, direkt auf der Netzwerk-Schnittstelle Pakete mitzuschneiden. Wie das mit der PIX/ASA geht habe ich schon vor längerer Zeit beschrieben.

Seit IOS 12.4(20)T geht das auch auf dem Router. Steffen Lehmann von Systema hat dazu eine kleine Einführung gerschrieben und sie mir zur Verfügung gestellt:

Ab 12.4(20)T kann ohne großen Aufwand ein Router Interface gespiegelt werden und per ftp/tftp der Output im Wireshark kompatiblen Format exportiert werden.

Dies funktioniert auch für SUB Interfaces auf einem 802.1q Trunk .

Die Konfguration

  1. Erstellen des Buffers

    2. Hier wird der das Puffer File definiert, welches für die „gedumpten“ Pakete verwendet wird.

    
Router#monitor capture buffer >Buffer Filename<

    embedded-packet-capture_htm_4d612e2

  2. Erstellen des Capture Point

    3. Damit wird definiert, welche Source für eine bestimmte Session (Capture Point) genutzt wird.

    
Router#monitor capture point ip cef >CapturePointName< >IF Name< >Richtung<

    embedded-packet-capture_htm_m43ffb00a

  3. Zuordnung Buffer – Capture Point
    4. 
Router#monitor capture point associate >CapturePointName< >Buffer Filename<

    embedded-packet-capture_htm_efca750

  4. Start des Capture
    5. 
Router#monitor capture point start >CapturePointName<

    embedded-packet-capture_htm_m69e287f3

  5. Monitoring

    6. Um festzustellen, wie viele Pakete schon gemonitort wurden, kann mit folgendem Kommando nachgesehen werden...

    
Router#show monitor capture buffer > Buffer Filename<

    embedded-packet-capture_htm_m1a74612e

  6. Beenden des Capture
    7. 
Router#monitor capture point stop >CapturePointName<
  7. Kopieren des Capture File auf externen Server
    8. 
Router#monitor capture buffer >Buffer Filename< export tftp://>IPADRESSE>/>Dateiname<

    embedded-packet-capture_htm_43109f51

    Jetzt kann die Datei auf dem remote Rechner mit Wireshark geöffnet und analysiert werden.

Filed under Cisco · Tagged with , , ,

Cisco ASA: Neuerungen beim Capture

Posted by Karsten on September 13, 2007 · Kommentar schreiben 

Über die Möglichkeit auf der PIX/ASA ala tcpdump Pakete mitzuschneiden habe ich schon geschrieben. Diese seit der Version 6.2 vorhandene Funktion wurde zwar schon mehrfach erweitert, die interessanteste Änderung ist jetzt aber in den zur Version 8 gehörenden ASDM eingebaut worden: Ein Capture-Wizard, mit dem diese Funktion extrem einfach benutzbar wird.

Dieser Wizard arbeitet in sechs einfachen Schritten: Read more

Filed under Cisco, Cisco - Security · Tagged with , ,

Cisco PIX/ASA – Capturing Traffic

Posted by Karsten on Juli 26, 2005 · 3 Kommentare 

This document shows how to capture traffic directly at the Cisco PIX/ASA Firewall. Thats a very powerful tool for troubleshooting. Read more

Filed under Cisco, Cisco - Security · Tagged with , , ,