IPS では、packet コマンドで sensing/management interface でパケットキャプチャーを
する事が可能です。構築の際、 IPS の sensing interface 上でパケットがきているか確認
するときに便利かと思います。このコマンドは、実環境で使用する場合には以下の3点に
注意が必要です。必ず運用フェーズに入る前にどのようになるかご確認ください。
---
・ このコマンドにより、パフォーマンスが著しく低下する事がございます。
・ 機種やバージョンにより inline mode から promiscuous mode に一時的に降格します。
・ 機種やバージョンにより bypass モードに以降します。
sensor# packet display gigabitEthernet0/1
Warning: This command will cause significant performance degradation
tcpdump: WARNING: ge0_1: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ge0_1, link-type EN10MB (Ethernet), capture size 65535 bytes
02:48:55.700704 IP 192.168.0.99 > 192.168.1.101: ICMP echo request, id 50222, seq 1, length 64
02:48:55.702724 IP 192.168.0.99 > 192.168.1.101: ICMP echo request, id 50222, seq 1, length 64
02:48:55.703803 IP 192.168.1.101 > 192.168.0.99: ICMP echo reply, id 50222, seq 1, length 64
02:48:55.704464 IP 192.168.1.101 > 192.168.0.99: ICMP echo reply, id 50222, seq 1, length 64
sensor# show event(実際にpakectコマンドを実施した際にインタフェースがどうなっているか確認します。)
evStatus: eventId=1307673935148345049 vendor=Cisco
originator:
hostId: sensor
appName: kernel
appInstanceId:
time: 2011/06/10 02:47:56 2011/06/10 02:47:56 UTC
syslogMessage:
description: device ge0_1 entered promiscuous mode <---- capture コマンド実施時に promiscuous mode に移項しているのが確認できます。
evStatus: eventId=1307673935148345052 vendor=Cisco
originator:
hostId: sensor
appName: kernel
appInstanceId:
time: 2011/06/10 02:49:12 2011/06/10 02:49:12 UTC
syslogMessage:
description: device ge0_1 left promiscuous mode <---- コマンド終了の際 inline mode に戻る事が確認できます。
<参考URL>
Capturing and Displaying Live Traffic on an Interface
http://www.cisco.com/en/US/docs/security/ips/6.0/configuration/guide/cli/cliPack.pdf