Captura de Pacotes em Roteadores Juniper

De Wiki BPF
Ir para navegação Ir para pesquisar

  A visibilidade granular do tráfego é o pilar fundamental para o diagnóstico de redes modernas.

No JunOS, os dispositivos das linhas SRX (Security Services Gateway) e MX (Multi-Service Router) oferecem ferramentas robustas para captura de pacotes, permitindo desde a análise rápida de cabeçalhos em tempo real até a coleta profunda de arquivos .pcap para inspeção forense em analisadores como o Wireshark.

Métodos de Captura e Visibilidade

 Diferente de sistemas legados, o Junos separa as capturas em três abordagens lógicas:

  1. Captura de Fluxo (Transit Traffic): Captura pacotes que atravessam o roteador (PFE). Requer filtros de firewall ou depuração de datapath.
  2. Captura de Control Plane (RE Traffic): Captura tráfego destinado ou originado pelo roteador (BGP, OSPF, LACP, ARP).
  3. Captura de Segurança (IDP): Focada em ataques, permitindo capturar pacotes antes e depois de um evento malicioso.

Captura via CLI (Modo de Configuração)

 Este método é o mais comum para gerar arquivos que serão analisados externamente.

 Passo 1: Configuração das Opções de Encaminhamento

   Definimos os limites de armazenamento para não comprometer a memória flash do equipamento.

set forwarding-options packet-capture file filename ANALISE-BPF files 5 size 2m world-readable

set forwarding-options packet-capture maximum-capture-size 1500

  • Significado: Define o nome do arquivo, rotaciona entre 5 arquivos de 2MB e permite leitura por usuários comuns.
  • Importância: Evita o preenchimento total do disco /var/tmp e garante que o pacote completo (MTU 1500) seja coletado, incluindo cabeçalhos de Camada 2.

 Passo 2: O Filtro de Firewall (Amostragem)    A captura no Junos funciona por amostragem. Sem o comando sample, o pacote passa, mas não é copiado para o arquivo.

set firewall filter FILTRO-CAPTURAR term T1 from protocol icmp

set firewall filter FILTRO-CAPTURAR term T1 then sample accept

set firewall filter FILTRO-CAPTURAR term ALLOW-ALL then accept

  • Significado: Filtra apenas tráfego ICMP e aplica a ação sample.
  • Importância: Filtros restritivos são vitais para a performance. Capturar todo o tráfego de uma interface Gigabit pode causar instabilidade no sistema.

 Passo 3: Aplicação na Interface

set interfaces ge-0/0/0 unit 0 family inet filter input FILTRO-CAPTURAR

set interfaces ge-0/0/0 unit 0 family inet filter output FILTRO-CAPTURAR

  • Nota: Para capturar protocolos de controle (como OSPF ou LACP), a aplicação na direção output é obrigatória para pacotes gerados pelo próprio Routing Engine.

Captura em Tempo Real: monitor traffic

 Para diagnósticos rápidos ("o pacote está chegando?"), usamos o modo operacional.

monitor traffic interface xe-0/0/0 matching "ether proto 0x8809" detail

  • Exemplo LACP: O filtro acima captura especificamente PDUs LACP (Ethertype 0x8809) em interfaces físicas (xe), essencial para diagnosticar falhas em LAGs.
  • Cuidados: Sempre utilize count ou matching para limitar a saída, pois o excesso de logs no terminal degrada a performance.

Capturas Avançadas: Datapath Debug e IDP

  Depuração de Caminho de Dados (Transit Traffic)

  Em cenários onde o tráfego de trânsito precisa ser capturado sem filtros de firewall tradicionais, usamos o datapath-debug:

set security datapath-debug capture-file meu-pcap format pcap size 1m

set security datapath-debug action-profile capturar event np-ingress packet-dump

  • Significado: Captura pacotes no ingresso do processador de rede (NP).

Captura de Segurança (IDP)

  Para análise forense de ataques, o Juniper SRX permite capturar pacotes pre-attack e post-attack.

set security idp sensor-configuration packet-log total-memory 5

set security idp idp-policy POL-1 rulebase-ips rule 1 then notification packet-log pre-attack 1 post-attack 3

  • Importância: Permite entender o que aconteceu imediatamente antes de uma assinatura de ataque ser disparada.

Extração e Boas Práticas

  1. Desativar antes de extrair: É mandatório usar set forwarding-options packet-capture disable antes de mover o arquivo de /var/tmp para garantir que o buffer interno seja gravado no disco.
  2. Encapsulamento: Se mudar o encapsulamento da interface (ex: de Ethernet para PPP), desative a captura primeiro para evitar corrupção do arquivo .pcap.
  3. Incompatibilidade: Não é possível rodar traffic sampling e packet-capture simultaneamente.

Conclusão

A maestria na captura de pacotes em ambientes Juniper transforma o processo de troubleshooting de uma tentativa de "tentativa e erro" em uma ciência exata. Seja através do monitor traffic para respostas rápidas ou do datapath-debug para análises complexas, o administrador ganha visibilidade total sobre o que transita na infraestrutura, garantindo segurança e estabilidade operacional.

Referências

1. JUNIPER NETWORKS. Use Packet Capture to Analyze Network Traffic. Disponível em: https://www.juniper.net. Acesso em: 2024.

2. JUNIPER NETWORKS. IDP Security Packet Capture. Disponível em: https://www.juniper.net.

4. STACK EXCHANGE. Capturing LACP PDUs on Juniper MX. Disponível em: https://networkengineering.stackexchange.com.

5. REDDIT. Best way for Packet Capture on Juniper SRX1500. r/Juniper community.

Disponível em “https://wiki.brasilpeeringforum.org/index.php?title=Captura_de_Pacotes_em_Roteadores_Juniper&oldid=4057