أخد الحزم من نوافد الجدار الناري Cisco ASA

من خصائص الجدار الناري Cisco ASA، أنه يمكن من أخد الحزم المتدفقة في الشبكة، عن طريق التنصت على أحد نوافد الجدار الناري. في هاته المقالة، سنتعرف كيفية أخد حزمة من أحد نوافد الجدار الناري، تم كيفية إظهار محتواها وكذا تخزينها.


 يمكن الأمر capture من أخد الحزم المتدفقة في الشبكة، ويحتاج هذا الأمر مجموعة من المعلومات، كأسم النافدة (Interface) المراد الأخد منها الحزم، و إسم الملف الذي يجب تخزين فيه هاته الحزم، والذي سيخزن في ذاكرة الجدار الناري.

الصيغة العامة للأمر هي على الشكل التالي:

CiscoASA# capture capture_name [type {asp-drop all [drop-code] | raw-data
 | isakmp | webvpn user webvpn-user [url url]}] 
[access-list access_list_name] [buffer buf_size] 
[ethernet-type type] [interface interface_name] 
[packet-length bytes] [circular-buffer] [trace trace_count] 
[real-time] [dump] [detail] [match prot] {host ip | ip mask | any} 
[operator port] 

تفعيل وأخد الحزم من النافدة Inside. 

CiscoASA# capture monteste interface inside

أخد الحزم بطريقة متقدمة. يمكن أيضا إظافة مجموعة من الخاصيات للأمر capture لتحديد عمل التنصت على النافدة، كتحديد عنوان الشبكة المرسلة والمستقبلة، وأيضا تحديد نوع النوافد،ك tcp, Udp,icmp ... 

[infos ip :]
ip source : 192.168.0.1
ip destination : 10.0.10.1

CiscoASA# capture monteste interface outside match tcp host 192.168.0.1 host 10.0.10.1 

أخد الحزم بطريقة آنية:

CiscoASA# capture monteste interface outside real-time match tcp host 192.168.0.1 host 10.0.10.1 

قراءة محتوى الملف الذي يحتوي على الحزم. يمكن الأمر capture من قراءة ملف الحزم، والصيغة العامة للأمر هي على الشكل التالي:

CiscoASA# show capture [capture_name] [access-list access_list_name] [count number] [decode] [detail] [dump] [packet-number number] 

مثال: من أجل معرفة محتوي ملف الحزم ، نكتب الأمر التالي.

CiscoASA# show capture monteste

قراءة محتوي الملف بواسطة برنامج Wireshark. 

يمكن تحميل ملف الحزم -الذي قمنا بإنشاءه- عن طريق الدخول إلى المتصفح بالعنوان التالي. 

https://monipdurouteur/capture/monteste/pcap

ملاحظة: يجب أن يتم تفعيل خاصية الدخول للجدار الناري عن طريق المتصفح، يمكن قراءة المقالة التالية
 

يمكن تخزين الملف في الحاسوب، تم فتحه بواسطة برنامج wireshark.

تفريغ الملف الحزم.

يمكن تفريغ ملف الحزم بتطبيق الأمر التالي.

CiscoASA# clear capture monteste

تخزين ملف الحزم في خادمServeur TFTP) tftp) .

CiscoASA# copy capture:monteste tfptp://MonServeurTftp/monrepertoireDMZ.txt pcap 

تعطيل عملية التنصت :
من أجل تفادي ملأ ذاكرة الجدار الناري، ينصح بتعطيل عملية أخد الحزم (packet)، وذلك بتطبيق الأمر التالي:

CiscoASA# no capture monteste