Kullanım Rehberi
Configuration
Monitoring
Maintenance
Diagnosis
Hakkımızda

packet-trace

CLI arayüzünde packet-trace, ağ trafiğini yakalayan ve analiz eden bir CLI komutudur. Bu komutu kullanarak şağıdaki işlemleri yapabilirsiniz:

  1. Ağ trafiğini dinleme: packet-trace, ağ trafiğini dinleyerek paketleri yakalar. Bu özellik, ağda gerçekleşen işlemleri anlamak için oldukça yararlıdır.

  2. Filtrasyon: packet-trace, ağ trafiğini filtreleyebilir, bu da ilgili bilgiyi bulmayı kolaylaştırır. Örneğin, yalnızca belirli bir IP adresinden veya belirli bir porttan gelen trafiği yakalayabilirsiniz.

Önerilen kullanım:

packet-trace -s 246 -nettti pflog0

-s parametresi, "-s" ardından belirtilen sayısal değer ile belirtilir ve her bir yakalama işleminde o kadar byte'lık veri yakalayacak şekilde ayarlanır. Önerilen kullanım ilk 246 byte’lık veriyi incelemesi.

-nettti parametreleri içerisinde, "-n" parametresi, yakalanan paketlerin adres bilgilerini çözmeden önce direkt olarak IP adresleri ve port numaralarını göstermesini sağlar. "-e" parametresi, olarak yakalanan her paketin link katmanı bilgilerinin, yani kaynak ve hedef MAC adreslerinin, çıktıda görüntülenmesini sağlar

“-ttt” parametresi, pakete ait tarihin ay ve gün değerlerinin yazılmasını sağlar.

Filtreleme ifadeleri:

1- Belirli bir Interface’i dinlemek:

packet-trace -i [interface adı]

-i parametresinden sonra show ip address çıktısındaki interface isimleri kullanılabilir. Ethernet interface içinse cihazın modeline göre interface’e karşılık gelen interface adı kullanılmalıdır. Listeye buradan ulaşılabilir. Örnek olarak SDX 200 cihazdaki 1/1/1 interface’den akan trafiği görmek için em2 interface dinlenmelidir. Ek olarak pflog0 interface kullanılarakfirewall üzerinden geçen trafik incelenebilir.

packet-trace -s 246 -nettti em2

packet-trace -s 246 -nettti pflog0

packet-trace -s 246 -nettti wireguard1

packet-trace -s 246 -nettti pppoe0

Bundan sonraki örneklerin tamamı pflog0 için verilmiştir ama tüm interfaceler için kullanılabilir.

2- Belirli bir IP adresini dinlemek

packet-trace -s 246 -nettti pflog0 src host [IP]

packet-trace -s 246 -nettti pflog0 dst host [IP]

packet-trace -s 246 -nettti pflog0 host [IP]

3- Belirli bir network’ü dinlemek

packet-trace -s 246 -nettti pflog0 src net [IP/netmask]

packet-trace -s 246 -nettti pflog0 dst net [IP/netmask]

packet-trace -s 246 -nettti pflog0 net [IP/netmask]

4- Belirli bir portu dinlemek

packet-trace -s 246 -nettti pflog0 src port [Port]

packet-trace -s 246 -nettti pflog0 dst port [Port]

packet-trace -s 246 -nettti pflog0 port [Port]

5- Block/Pass durumunu incelemek

packet-trace -s 246 -nettti pflog0 action block

packet-trace -s 246 -nettti pflog0 action pass

! Eğer Firewall konfigürasyonunda block-log seçili değilse block paketleri görüntülenemez.

Örnek komutlar:

packet-trace -s 246 -nettti pflog0 action block

tcpdump: listening on pflog0, link-type PFLOG

Apr 28 11:11:55.746301 rule 32/(match) block in on vport10: 172.16.10.22.48804 > 172.217.169.202.443: udp 1250 (DF)

Apr 28 11:11:55.751898 rule 32/(match) block in on vport10: 172.16.10.22.48027 > 172.217.169.202.443: udp 1250 (DF)

Apr 28 11:11:55.752060 rule 32/(match) block in on vport10: 172.16.10.22.48027 > 172.217.169.202.443: udp 78 (DF)

Apr 28 11:11:56.026966 rule 33/(match) block in on vport1010: 172.16.20.67.62450 > 108.177.126.127.19302: udp 20 (DF)

Apr 28 11:11:56.026974 rule 33/(match) block in on vport1010: 172.16.20.67.57187 > 108.177.126.127.19302: udp 20 (DF)

Apr 28 11:11:56.081534 rule 32/(match) block in on vport10: 172.16.10.22.48027 > 172.217.169.202.443: udp 1250 (DF)

Apr 28 11:11:56.718381 rule 32/(match) block in on vport10: 172.16.10.22.48027 > 172.217.169.202.443: udp 1250 (DF)

Apr 28 11:11:57.101503 rule 32/(match) block in on vport1010: 172.16.20.112.57120 > 172.217.17.98.443: udp 1250 (DF)

Bu komut sayesinde Firewall tarafından yasaklanan paketler gözlemlenebilir.

Belirli bir IP adresi için Müşteri’den şikayet geldiyse aşağıdaki komut ile kontrol sağlanabilir.

packet-trace -s 246 -nettti pflog0 host 172.16.10.22 and action block

Eğer müşteri belirli bir port için şikayette bulunduysa aşağıdaki komut ile kontrol sağlanabilir.

packet-trace -s 246 -nettti pflog0 port 443 and action block

packet-trace -s 246 -nettti pflog0 port 443 and host 172.16.10.22 and action block

Müşteri belirttiği bir IP adresinin ulaşamadığı bir IP adresiyle ilgili şikayette bulunduysa aşağıdaki komut ile kontrol sağlanabilir.

packet-trace -s 246 -nettti pflog0 src host 172.16.20.108 and dst host 192.168.2.15

tcpdump: listening on pflog0, link-type PFLOG

Apr 28 11:35:47.753853 rule 233/(match) pass in on vport1010: 172.16.20.108.59778 > 192.168.2.15.53: S 1176922325:1176922325(0) win 64240 <mss 1460,nop,wscale 8,nop,nop,sackOK> (DF)

Apr 28 11:35:47.753875 rule 234/(match) pass out on ix2: 172.16.20.108.59778 > 192.168.2.15.53: S 1176922325:1176922325(0) win 64240 <mss 1440,nop,wscale 8,nop,nop,sackOK>

Apr 28 11:35:47.754369 rule 233/(match) pass in on vport1010: 172.16.20.108.59779 > 192.168.2.15.53: S 2079198765:2079198765(0) win 64240 <mss 1460,nop,wscale 8,nop,nop,sackOK> (DF)

Apr 28 11:35:47.754389 rule 234/(match) pass out on ix2: 172.16.20.108.59779 > 192.168.2.15.53: S 2079198765:2079198765(0) win 64240 <mss 1440,nop,wscale 8,nop,nop,sackOK>

packet-trace -s 246 -nettti pflog0 src host 192.168.100.2 and dst host 192.168.200.2 and port 3389

pppoe konfigürasyonu ardından istekleri görmek için aşağıdaki komut ile kontrol sağlanabilir.

packet-trace -s 246 -nettti pppoe1

tcpdump: listening on pppoe1, link-type PPP_ETHER

Apr 28 11:34:12.716422 PPPoE

code Session, version 1, type 1, id 0x0002, length 208

IP 78.189.128.229.62574 > 156.146.52.79.443: P 3167199570:3167199736(166) ack 3765448387 win 257 (DF)

Apr 28 11:34:12.735011 PPPoE

code Session, version 1, type 1, id 0x0002, length 42

IP 156.146.52.79.443 > 78.189.128.229.62574: R 3765448387:3765448387(0) win 0 (DF)

Apr 28 11:34:12.745846 PPPoE

code Session, version 1, type 1, id 0x0002, length 54

IP 78.189.128.229.57951 > 156.146.52.79.443: S 3213496475:3213496475(0) win 64240 <mss 1440,nop,wscale 8,nop,nop,sackOK>

Apr 28 11:34:12.765121 PPPoE

code Session, version 1, type 1, id 0x0002, length 54

IP 156.146.52.79.443 > 78.189.128.229.57951: S 3034040611:3034040611(0) ack 3213496476 win 64240 <mss 1460,nop,nop,sackOK,nop,wscale 7> (DF)

Apr 28 11:34:12.766684 PPPoE

code Session, version 1, type 1, id 0x0002, length 42

IP 78.189.128.229.57951 > 156.146.52.79.443: . ack 1 win 258

Apr 28 11:34:12.772256 PPPoE

code Session, version 1, type 1, id 0x0002, length 316

IP 78.189.128.229.57951 > 156.146.52.79.443: P 1:275(274) ack 1 win 258

Apr 28 11:34:12.791311 PPPoE

code Session, version 1, type 1, id 0x0002, length 42

IP 156.146.52.79.443 > 78.189.128.229.57951: . ack 275 win 501 (DF)

Apr 28 11:34:12.794759 PPPoE

code Session, version 1, type 1, id 0x0002, length 1482

IP 156.146.52.79.443 > 78.189.128.229.57951: . 1:1441(1440) ack 275 win 501 (DF)

Apr 28 11:34:12.794873 PPPoE

code Session, version 1, type 1, id 0x0002, length 1218

IP 156.146.52.79.443 > 78.189.128.229.57951: P 1441:2617(1176) ack 275 win 501 (DF)

Apr 28 11:34:12.796973 PPPoE

code Session, version 1, type 1, id 0x0002, length 42

IP 78.189.128.229.57951 > 156.146.52.79.443: . ack 2617 win 258

Wireguard'da yaşanılan bir problemin ardından trafiğin tünel üzerinden geçtiği kontrol etmek için aşağıdaki komut ile kontrol sağlanabilir.

packet-trace -s 246 -nettti wireguard1

tcpdump: listening on wg1001, link-type LOOP

Apr 28 11:33:28.013565 192.168.1.71.51343 > 192.168.2.16.1433: . 3137710953:3137710954(1) ack 2808572988 win 1026

Apr 28 11:33:28.014155 192.168.2.16.1433 > 192.168.1.71.51343: . ack 1 win 515 <nop,nop,sack 1 {0:1} >

Apr 28 11:33:28.015462 192.168.1.50.7100 > 192.168.2.5.20514: udp 172 [tos 0x10]

Apr 28 11:33:28.017306 192.168.2.5.20514 > 192.168.1.50.7100: udp 172 [tos 0x10]

Apr 28 11:33:28.027587 192.168.1.45.49768 > 192.168.2.17.891: P 3382178351:3382178560(209) ack 2913514546 win 1022

Apr 28 11:33:28.028157 192.168.2.17.891 > 192.168.1.45.49768: P 1:284(283) ack 209 win 515

Apr 28 11:33:28.029477 192.168.1.45.49768 > 192.168.2.17.891: . ack 284 win 1021

Apr 28 11:33:28.035437 192.168.1.50.7100 > 192.168.2.5.20514: udp 172 [tos 0x10]

Apr 28 11:33:28.037359 192.168.2.5.20514 > 192.168.1.50.7100: udp 172 [tos 0x10]

Apr 28 11:33:28.048245 192.168.2.23.5247 > 192.168.1.36.5264: udp 954

PreviousnoNextping

Last updated