È possibile creare un file di traccia da Web Gateway Manager o dalla riga di comando di appliance (CLI).
Gestore Gateway Web:
- Accedere a Web Gateway Manager e accedere a Risoluzione dei problemi, Rintracciamento dei pacchetti.
- Nella casella parametri della riga di comando, digitare i parametri necessari per filtrare il dump.
Questa azione consente di raccogliere solo le informazioni necessarie e di evitare che il dump venga troppo grande.
Nota La dimensione del file di dump creata nell'interfaccia utente è limitata a 200.000 pacchetti.
- Fare clic su tcpdump avviare.
- Riprodurre il problema.
- Quando il problema è stato riprodotto, arrestare la cattura.
Riga di comando:
- Accedere al Web Gateway appliance CLI utilizzando SSH.
- Accedere alla cartella tcpdump:
Tipo CD/opt/MWG/log/debug/tcpdump e premere INVIO.
- Avviare tcpdump:
Tipo tcpdump-s 0-i any-w SR-Number_dump. pcap e premere INVIO.
- Riprodurre il problema.
- Quando il problema è stato riprodotto, interrompere la cattura premendo CTRL + C.
- È possibile download il file utilizzando l'FTP o l'interfaccia utente nella Risoluzione dei problemi, Rintracciamento dei pacchetti sezione.
Elenco dei parametri comuni:
Opzione |
Esempio |
Descrizione |
-i interfaccia |
-i qualsiasi |
Ascolta l'interfaccia o le interfacce definite |
-s snaplen |
-s 0 |
Definizione dei byte di dati da ciascun pacchetto
Nota 0 significa tutto. |
host ClientIP |
host 192.168.0.2 |
Solo sniffare i pacchetti da o verso un determinato host |
porta porta |
porta 53 |
Solo sniffare pacchetti con porta specificata come porta di origine o di destinazione |
Nota Le pagine man contengono tutte le opzioni disponibili e possono essere visualizzate da
uomo tcpdump.
Esempi di casi di utilizzo:
- Cattura tutto il traffico di rete sul Web Gateway con i pacchetti completi:
-s 0-i qualsiasi
- Cattura solo il traffico da o verso un client specifico con pacchetti completi:
-s 0-i qualsiasi host clientIP
- Cattura il traffico di un clientIP specifico, i dati da/verso il controller di dominio e il traffico DNS per analizzare i problemi di autenticazione:
-s 0-i qualsiasi host clientIP o porta 445 o porta 53
Catture in sequenza per problemi intermittenti
Alcuni problemi potrebbero essere visualizzati sporadicamente e sarà difficile riprodurli durante la creazione di tcpdump. È possibile creare catture di rotolamento per un lungo periodo di tempo fino a quando il problema non si ripresenta.
Opzione |
Esempio |
Descrizione |
-C dimensione file |
-C 100 |
Specificare le dimensioni massime del file in MB |
-W numero di file |
-W 20 |
Numero massimo di file da mantenere |
-G secondi |
-G 10 |
Ruota il file di dump ogni X secondi |
Per creare catture di rotolamento per problemi di autenticazione
Nota Per l'esempio riportato di seguito, sarà necessario disporre di 2 GB di spazio libero su
/var
- Accedere al Web Gateway appliance CLI utilizzando SSH.
- Accedere al /var cartella
Tipo CD/var e premere INVIO.
- Verificare di disporre di spazio libero sufficiente:
Tipo df-k e premere INVIO.
- Avviare le catture di rotolamento:
Tipo nohup tcpdump-Z root-s 0-i qualsiasi porta 445 o porta 53-C 100-W 20-w capturefilename. pcap & e premere INVIO due volte.
Nota In questo esempio vengono filtrati i traffici sulla porta 445 e 53. Questi dati sono utili per la risoluzione dei problemi di AD appartenenza al dominio e di autenticazione su Gateway Web.
Analisi di tcpdumps con Wireshark
Tcpdumps può essere analizzato con lo strumento
Wireshark. Di seguito sono riportati alcuni esempi di come è possibile filtrare il dump per visualizzare il traffico che si desidera visualizzare.
Nota È possibile utilizzare Wireshark per creare tcpdumps sul client.
Filtro |
Descrizione |
IP. addr |
Filtri per un indirizzo IP specifico |
TCP. Port |
Filtri per la porta TCP |
TCP. Stream |
Filtra per uno specifico flusso TCP, creato automaticamente se si segue un flusso TCP |
ETH. addr |
Filtri per un indirizzo fisico |
Operatore |
Descrizione |
= = o EQ |
È uguale a |
|| o o |
È necessario applicare uno dei parametri |
&& o e |
Entrambi i parametri devono essere confrontati |
!= o NEQ |
Non è uguale al valore |
È inoltre possibile filtrare per determinati protocolli:
Protocollo |
Descrizione |
DNS |
Filtri per il traffico DNS |
http |
Filtri per il traffico http |
SSL |
Filtri per il traffico SSL |
NTLMSSP |
Filtri per il traffico NTLM |
LDAP |
Filtri per il traffico LDAP |
ICAP |
Filtri per il traffico ICAP |