Comando "capture" en el equipo PIX / ASA de CISCO Systems
Al momento de realizar el troubleshooting de una aplicación o servicio nos puede resultar muy util el uso del comando "capture".
Basicamente nos permite capturar todos los paquetes referenciados por una ACL en un buffer para poder visualizarlos mas tarde o inclusive analizarlos con el sniffer wireshark.
El uso de ACLs nos aporta gran flexibilidad a la hora de seleccionar los paquetes que queremos capturar para el analisis.
La sintaxis de uso del comando es la siguiente:
capture capture_name [access-list access_list_name] [buffer buf_size] [ethernet-type type] [interface interface_name] [packet-length bytes] [circular-buffer]
capture capture_name type asp-drop [drop-code] [buffer buf_size] [circular-buffer] [packet-length bytes]
capture capture_name type isakmp [access-list access_list_name] [buffer buf_size] [circular-buffer] [interface interface_name] [packet-length bytes]
capture capture_name type raw-data [access-list access_list_name] [buffer buf_size] [circular-buffer] [ethernet-type type] [interface interface_name] [packet-length bytes]
capture capture_name type webvpn user webvpn-user [url url]
no capture capture_name
Por default el comando captura lo siguiente:
Datos crudos, con un buffer de 512k, tipo ethernet, protocolo IP, los primeros 68 bytes.
Ejemplos de uso:
1.- Creamos una ACL : Vamos a crear una ACL para capturar todo el trafico TCP desde o hacia el host 192.168.10.1
PIX-TEST# config t
PIX-TEST(config)# access-list ACL-CAPTURA line 1 extended permit tcp any host 192.168.10.1
PIX-TEST(config)# access-list ACL-CAPTURA line 2 extended permit tcp host 192.168.10.1 any
PIX-TEST(config)# exit
2.- Verificamos la ACL
PIX-TEST# show access-list ACL-CAPTURA
3.- Creamos la CAPTURA
PIX-TEST# capture CAPTURAi type raw-data access-list webcap interface inside
PIX-TEST# capture CAPTURAo type raw-data access-list webcap interface outside
4.- Verificamos
PIX-TEST# show capture
capture CAPTURAi type raw-data access-list webcap interface inside
capture CAPTURAo type raw-data access-list webcap interface outside
5.- Para ver los paquetes capturados
PIX-TEST# show capture CAPTURAi
PIX-TEST# show capture CAPTURAo
6.- Para copiar los datos capturados a un servidor TFTP
PIX# copy /pcap capture:CAPTURAi tftp:
Source capture name [CAPTURAi]?
Address or name of remote host []? 192.168.10.111
Destination filename [CAPTURAi]?
Esta copia subira un archivo en formato pcap para poder visualizarlo con el Ethereal o Wireshark.
Etiquetas: ASA, PIX