Capture de paquets sur un routeur Cisco

novembre 21, 2011  |   Blog   |     |   Commentaires fermés sur Capture de paquets sur un routeur Cisco

Nous réalisons souvent dans le cadre de nos missions d’expertise des captures de paquets directement sur les équipements actifs. Cette fonctionnalité est disponible depuis longtemps sur la plupart des firewalls (par exemple Check Point SPLAT ou Nokia IPSO, Cisco ASA) , mais seulement depuis peu -version d’IOS supérieure 12.4(20) – sur les routeurs Cisco.

Sur les traces suivantes, nous opérons une capture de paquets restreinte au traffic HTTP (TCP/80) sur une interface spécifique  (Gi0/2) en ingress et en egress (both), la taille des paquets stockés est limitée à 800 octets (le défaut – 68o – est bien trop court pour une analyse pertinente) :

RTR#

RTR(config)#access-list 101 permit tcp any any eq 80

RTR(config)#access-list 101 permit tcp any eq 80 any

RTR(config)#end



RTR#monitor capture buffer HTTP_Traffic

RTR#monitor capture buffer HTTP_Traffic max-size 800

RTR#monitor capture buffer HTTP_Traffic filter access-list 101

Filter Association succeeded



RTR#monitor capture point ip cef httptrace gi0/2 both

RTR#monitor capture point associate httptrace HTTP_Traffic



RTR#monitor capture point associate httptrace HTTP_Traffic

RTR#monitor capture point start httptrace



RTR#show monitor capture buffer HTTP_Traffic parameters

Capture buffer HTTP_Traffic (linear buffer)

Buffer Size : 1048576 bytes, Max Element Size : 800 bytes, Packets : 1

Allow-nth-pak : 0, Duration : 0 (seconds), Max packets : 0, pps : 0

Associated Capture Points:

Name : httptrace, Status : Active

Configuration:

monitor capture buffer HTTP_Traffic max-size 800

monitor capture point associate httptrace HTTP_Traffic

monitor capture buffer HTTP_Traffic filter access-list 101

 

Il suffit ensuite d’arrêter la capture et de l’exporter :

RTR#monitor capture point stop httptrace

RTR#monitor capture buffer HTTP_Traffic export ftp://:@//mycap.pcap

 

A première vue, cette capture n’a pas d’impact sur la CPU des routeurs, mais il faut toujours être très prudent sur des infrastructures en production.

Pour plus de détails, se référer à la documentation Cisco officielle : https://supportforums.cisco.com/docs/DOC-5799

Pour tous vos besoins d’expertise réseau et sécurité, n’hésitez à prendre contact avec nous via ce formulaire .

Les commentaires sont fermés.