{"id":1734,"date":"2009-05-02T17:11:29","date_gmt":"2009-05-02T16:11:29","guid":{"rendered":"http:\/\/security-planet.de\/?p=1734"},"modified":"2009-05-02T17:11:29","modified_gmt":"2009-05-02T16:11:29","slug":"cisco-ios-embedded-packet-capture","status":"publish","type":"post","link":"https:\/\/cyber-fi.net\/index.php\/2009\/05\/02\/cisco-ios-embedded-packet-capture\/","title":{"rendered":"Cisco IOS: Embedded Packet Capture"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2008\/12\/router.png\" alt=\"router\" title=\"router\" width=\"70\" height=\"49\" class=\"alignleft size-full wp-image-643\" \/>Viele Cisco-Ger\u00e4te erlauben es, direkt auf der Netzwerk-Schnittstelle Pakete mitzuschneiden. Wie das mit der PIX\/ASA geht habe ich schon <a href=\"http:\/\/security-planet.de\/2005\/07\/26\/cisco-pix-capturing-traffic\/\">vor l\u00e4ngerer Zeit beschrieben<\/a>.<\/p>\n<p>Seit IOS 12.4(20)T geht das auch auf dem Router. <em><a href=\"https:\/\/www.xing.com\/profile\/Steffen_Lehmann\">Steffen Lehmann<\/a><\/em> von <a href=\"http:\/\/www.systema-online.de\/\">Systema<\/a> hat dazu eine kleine Einf\u00fchrung gerschrieben und sie mir zur Verf\u00fcgung gestellt:<\/p>\n<hr \/>\n<p>Ab 12.4(20)T kann ohne gro\u00dfen Aufwand ein Router Interface gespiegelt werden und per ftp\/tftp der Output im Wireshark kompatiblen Format exportiert werden.<\/p>\n<p>Dies funktioniert auch f\u00fcr SUB Interfaces auf einem 802.1q Trunk .<\/p>\n<p><strong>Die Konfguration<\/strong><\/p>\n<ol>\n<li>Erstellen des Buffers<\/li>\n<p>Hier wird der das Puffer File definiert, welches f\u00fcr die \u201egedumpten\u201c Pakete verwendet wird.<\/p>\n<pre class=\"code\"><code>\nRouter#monitor capture buffer &gt;Buffer Filename&lt;\n<\/code><\/pre>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2009\/05\/embedded-packet-capture_htm_4d612e2.gif\" alt=\"embedded-packet-capture_htm_4d612e2\" title=\"embedded-packet-capture_htm_4d612e2\" width=\"880\" height=\"72\" class=\"alignnone size-full wp-image-1748\" \/><\/p>\n<li>Erstellen des Capture Point<\/li>\n<p>Damit wird definiert, welche Source f\u00fcr eine bestimmte Session (Capture Point) genutzt wird.<\/p>\n<pre class=\"code\"><code>\nRouter#monitor capture point ip cef &gt;CapturePointNameIF NameRichtung&lt;\n<\/code><\/pre>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2009\/05\/embedded-packet-capture_htm_m43ffb00a.gif\" alt=\"embedded-packet-capture_htm_m43ffb00a\" title=\"embedded-packet-capture_htm_m43ffb00a\" width=\"877\" height=\"56\" class=\"alignnone size-full wp-image-1751\" \/><\/p>\n<li>Zuordnung Buffer \u2013 Capture Point<\/li>\n<pre class=\"code\"><code>\nRouter#monitor capture point associate &gt;CapturePointNameBuffer Filename&lt;\n<\/code><\/pre>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2009\/05\/embedded-packet-capture_htm_efca750.gif\" alt=\"embedded-packet-capture_htm_efca750\" title=\"embedded-packet-capture_htm_efca750\" width=\"642\" height=\"46\" class=\"alignnone size-full wp-image-1752\" \/><\/p>\n<li>Start des Capture<\/li>\n<pre class=\"code\"><code>\nRouter#monitor capture point start &gt;CapturePointName&lt;\n<\/code><\/pre>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2009\/05\/embedded-packet-capture_htm_m69e287f3.gif\" alt=\"embedded-packet-capture_htm_m69e287f3\" title=\"embedded-packet-capture_htm_m69e287f3\" width=\"524\" height=\"32\" class=\"alignnone size-full wp-image-1753\" \/><\/p>\n<li>Monitoring<\/li>\n<p>Um festzustellen, wie viele Pakete schon gemonitort wurden, kann mit folgendem Kommando nachgesehen werden&#8230;<\/p>\n<pre class=\"code\"><code>\nRouter#show monitor capture buffer &gt; Buffer Filename&lt;\n<\/code><\/pre>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2009\/05\/embedded-packet-capture_htm_m1a74612e.gif\" alt=\"embedded-packet-capture_htm_m1a74612e\" title=\"embedded-packet-capture_htm_m1a74612e\" width=\"690\" height=\"329\" class=\"alignnone size-full wp-image-1754\" \/><\/p>\n<li>Beenden des Capture<\/li>\n<pre class=\"code\"><code>\nRouter#monitor capture point stop &gt;CapturePointName&lt;\n<\/code><\/pre>\n<li>Kopieren des Capture File auf externen Server<\/li>\n<pre class=\"code\"><code>\nRouter#monitor capture buffer &gt;Buffer FilenameIPADRESSE&gt;\/&gt;Dateiname&lt;\n<\/code><\/pre>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2009\/05\/embedded-packet-capture_htm_43109f51.gif\" alt=\"embedded-packet-capture_htm_43109f51\" title=\"embedded-packet-capture_htm_43109f51\" width=\"690\" height=\"57\" class=\"alignnone size-full wp-image-1755\" \/><\/p>\n<p>Jetzt kann die Datei auf dem remote Rechner mit Wireshark ge\u00f6ffnet und analysiert werden.\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Viele Cisco-Ger\u00e4te erlauben es, direkt auf der Netzwerk-Schnittstelle Pakete mitzuschneiden. Wie das mit der PIX\/ASA geht habe ich schon vor l\u00e4ngerer Zeit beschrieben. Seit IOS 12.4(20)T geht das auch auf dem Router. Steffen Lehmann von Systema hat dazu eine kleine Einf\u00fchrung gerschrieben und sie mir zur Verf\u00fcgung gestellt: Ab 12.4(20)T kann ohne gro\u00dfen Aufwand ein <\/p>\n<div class=\"read-more-text\"><a href=\"https:\/\/cyber-fi.net\/index.php\/2009\/05\/02\/cisco-ios-embedded-packet-capture\/\" class=\"read-more\">continue reading<\/a><\/div>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[5],"tags":[112,307,358],"class_list":["post-1734","post","type-post","status-publish","format-standard","hentry","category-cisco","tag-capture","tag-ios","tag-konfiguration"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/1734","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=1734"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/1734\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=1734"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=1734"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=1734"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}