数据包捕获不困难：思科ASA防火墙轻松解决

ZDNet安全频道原创翻译 转载请注明作者以及出处

在本文中，洛里·海德将告诉你，在不使用专门提供的单独数据包嗅探工具的情况下，如何利用思科ASA防火墙直接进行数据包捕获操作。
--------------------------------------------------------------------------------------------

　　当你在处理疑难问题或者对流量进行跟踪以便排除故障的时间，经常需要捕获数据包进行分析。当然，你可以选择现在就部署和配置一个专门的数据包嗅探工具来解决这个问题，但这并不是唯一可行的方法。你也可以选择使用思科ASA防火墙直接进行数据包捕获操作。在思科ASA防火墙上进行这样的操作是非常简单方便的。

　　对思科ASA进行配置实现增加数据包捕捉功能的话，至少有两种不同的方法可以选择。如果你喜欢使用ASA管理器的图形用户界面的话，可以选择向导菜单中的捕获工具包向导来实现这一功能。

　　不过，你要是不介意动手直接操作的话，我的建议是采用命令行界面的操作方式。你可以选择使用访问控制列表来对网络流量进行识别，并在设定好的界面上输出捕获的结果。下面的例子可以说明，进行这样的操作是多么的简单。

　　在这个例子中，我将捕获位于网络地址192.168.80.51上的主机和网络地址192.168.81.52上正在进行测试的ASA之间的所有IP数据包。

　　要做的第一步是建立一个快捷的访问控制列表：

　　access-list testcap extended permit ip host 192.168.80.51 host 192.168.81.52

　　接下来，就可以利用CAPTURE命令进行捕获操作了。利用我们的访问控制列表作为“关注”流量，就可以指定需要查看的相应接口了：

　　myasa# capture testcap interface inside

　　不可否认，这可能是最简单的命令设置了。实际上，该命令的选项包含了很多可以配置的部分，举例来说，缓冲区大小的设置、是否设置循环缓冲区在达到要求时间时覆盖本身的数据、以及选择是属于网络虚拟专用网还是互联网安全连接和密钥管理协议的流量都是属于可以调整的。在这里，关键是两条快捷命令，通过它们我们可以方便地捕获数据包。比起其它方法来，它可以说是最简单的了。

　　show capture快捷命令可以显示正在进行的数据包捕获情况。

　　myasa# sh capture

　　capture testcap type raw-data interface INSIDE [Capturing - 4314 bytes]

　　使用no参数，可以停止整个捕获过程。

　　myasa # no capture testcap

　　现在就让我们看一下输出的结果。在这里，我们也可以进行选择。我们可以通过网络浏览器直接在ASA上打开一个如图A所示的链接查看输出结果：

　　https://192.168.81.52/admin/capture/testcap

　　图 A

　　我们看到了流量的整体情况以及很多的其他信息，但并没有包含捕获数据包的所有细节。因此，我们可以利用下面的命令将这些信息保存为一个libpcap格式的文件，并且利用Wireshark或者其它类似的网络分析工具进行详细分析。

　　https://192.168.81.52/capture/testcap/pcap

　　图B显示的就是利用Wireshark打开文件后的情况。

　　图 B

　　利用命令行工具你还可以选择数据进行查看。

　　myasa# show capture testcap ?

　　access-list Display packets matching access list

　　count Display of packets in capture

　　decode Display decode information for each packet

　　detail Display more information for each packet

　　dump Display hex dump for each packet

　　packet-number Display packet in capture

　　trace Display extended trace information for each packet

　　| Output modifiers

　　让我们来看看前九个数据包的情况。

　　myasa# show capture testcap count 9

　　4532 packets captured

　　1: 13:46:31.052746 192.168.81.52.22 > 192.168.80.51.2057: P 1290581619:1290581687(68) ack 941116409 win 8192

　　2: 13:46:31.052884 192.168.80.51.2057 > 192.168.81.52.22: . ack 1290581687 win 65207

　　3: 13:46:38.374583 arp who-has 192.168.80.219 tell 192.168.82.51

　　4: 13:46:38.521655 arp who-has 192.168.80.204 tell 192.168.82.51

　　5: 13:46:39.803120 192.168.81.52.443 > 192.168.80.51.3968: P 787673978:787675438(1460) ack 3043311886 win 8192

　　6: 13:46:39.803150 192.168.81.52.443 > 192.168.80.51.3968: P 787675438:787675589(151) ack 3043311886 win 8192

　　7: 13:46:39.803257 192.168.81.52.443 > 192.168.80.51.3968: P 787675589:787677049(1460) ack 3043311886 win 8192

　　8: 13:46:39.803272 192.168.81.52.443 > 192.168.80.51.3968: P 787677049:787677200(151) ack 3043311886 win 8192

　　9: 13:46:39.803287 192.168.81.52.443 > 192.168.80.51.3968: P 787677200:787677883(683) ack 3043311886 win 8192

　　9 packets shown

　　我们也可以利用命令行工具查看单独的数据包的情况。

　　myasa# show capture testcap detail packet-number 5 dump

　　4532 packets captured

　　5: 13:46:39.803120 0022.5597.25b9 0014.3815.89fb 0x0800 1514: 192.168.81.52.443 > 192.168.80.51.3968: P [tcp sum ok] 787673978:787675438(1460) ack 30 43311886 win 8192 (ttl 255, id 54032)

　　0x0000 4500 05dc d310 0000 ff06 c052 c0a8 5134 E..........R..Q4

　　0x0010 c0a8 5033 01bb 0f80 2ef2 f37a b565 410e ..P3.......z.eA.

　　0x0020 5018 2000 5488 0000 1703 0106 4654 db31 P. .T.......FT.1

　　0x0030 b3d4 0a5b 3295 f719 d82a 8767 6b8b dae1 ...[2....*.gk...

　　0x0040 0a54 0ea8 c8c4 1c61 c45c e321 452e 6ab6 .T.....a.\.!E.j.

　　0x0050 ba80 4e94 3801 d973 b4fe 97d4 8b2f 9e77 ..N.8..s...../.w

　　*只显示出了部分结果。

　　通过利用ASA来收集需要的网络流量。这样的话，硬件或者笔记本计算机的网络嗅探器就可以节省下来，用于网络的其它方面。但是，请务必记住，ASA需要细心管理。如果可能的话，创建具体的访问控制列表来对需要的网络流量进行捕获操作。在捕获数据包的时间对ASA进行监控，并在需要的情况下调整缓冲区。并且，和以往一样，登陆思科的官方网站获取更多的详细信息。