Sniffer no roteador

/ / Published in Configuração, Network

Os roteadores Cisco, com IOS a partir da versão 12.4(20)T contam com a funcionalidade Embedded Packet Capture (EPC), que basicamente permite o roteador trabalhar como um sniffer. Com esta feature podemos configurar o roteador para capturar os pacotes que entram e/ou saem de uma interface, e exportar para serem analisados posteriormente.

O EPC possui dois componentes:

Buffer – área da memória onde serão salvos os pacotes capturados. Você define o nome, tamanho e tipo.

Capture Point – é o local onde deverá ser feita a captura dos pacotes e deve ser associado a um buffer. Você pode definir o nome, o protocolo (IPv4 ou IPv6), tipo CEF ou process-switched. Podemos usar também uma access-list para filtras os pacotes que serão capturados.

Antes de continuar observe que esta funcionalidade pode impactar no desempenho do equipamento, pois utiliza a CPU e a memória DRAM, onde é armazenado o buffer. Assim, use com cuidado.

Configuração: No modo de configuração privilegiado crie um buffer e um ponto de captura. Depois associe os dois e inicie a coleta.

! Crie um buffer (BUFFER1 é apenas o nome escolhido)
monitor capture buffer BUFFER1
! Crie um ponto de captura, definindo o protocolo e método utilizado, e especifique a interface e a direção da captura (CAPTURE_POINT é o nome do ponto de captura)
monitor capture point ip cef CAPTURE_POINT fastEthernet 0/0 both
! Associe o ponto de captura e o buffer
monitor capture point associate CAPTURE_POINT BUFFER1
! Inicie a captura dos pacotes
monitor capture point start CAPTURE_POINT

Para verificar as configurações realizada utilize os comandos show monitor capture point all e show monitor capture buffer all. Para terminar a captura digite monitor capture point stop CAPTURE_POINT.

Analisando o tráfego

Podemos ver os pacotes capturados no próprio roteador (em formato ASCII) ou exportá-los. Para ver no roteador utilize o seguinte comando:

BrainRT#show monitor capture buffer BUFFER1 dump
14:36:08.747 UTC Jun 29 2009 : IPv4 LES CEF    : Fa0/0 None

67B4E9A0:                   001BD4C9 77D6000D          ..TIwV..
67B4E9B0: BC0BA899 08004500 002811AB 40007E06  <.(…E..(.+@.~.
67B4E9C0: 16890A0A 080CC0A8 01DE08F9 0017CB13  ……@(.^.y..K.
67B4E9D0: 875A206C C5EA5010 FEE59A7D 00000000  .Z lEjP.~e.}….
67B4E9E0: 00000000 00                          …..

14:36:09.267 UTC Jun 29 2009 : IPv4 LES CEF    : Fa0/0 None

67B4E9A0:                   FFFFFFFF FFFF0008          ……..
67B4E9B0: 02E098EF 08004500 004E0F1E 00007F11  .`.o..E..N……
67B4E9C0: A815C0A8 011CC0A8 01FF0089 0089003A  (.@(..@(…….:
67B4E9D0: 77E3869B 01100001 00000000 00002046  wc………… F
67B4E9E0: 47454E46 44455045 4D454445 00        GENFDEPEMEDE.

Ou para exportar, digite monitor capture buffer BUFFER1 export tftp://10.10.8.12/capture_2801, onde BUFFER1 é o nome do buffer onde estão os pacotes, 10.10.8.12 é o IP do TFTP Server, e capture_2801 é o nome que será dado ao arquivo. Após exportar abra o arquivo com o Wireshard ou algo do tipo.

Veja a Página do EPC e o Guia de Configuração para mais detalhes. E para saber se seu roteador suporta esta funcionalidade utilize o Feature Nagivator.

Até a próxima.

Tagged under: , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Cisco IOS-XE Packet Capture (TCPDump em switches e roteadores)
Instalando licença em roteadores Cisco
HP entra na onda do whitebox switching