sk141412 beschreibt, dass tcpdump die CPU-Auslastung erheblich steigern kann, was großen Einfluss auf die Firewall-Performance hat.

Daher stellt Check Point ein besser auf sein GAiA Betriebssystem abgestimmtes Interface Packet Capturing Werkzeug CPPCAP bereit, welches als RPM-Download für R77.30, R80.10 und R80.20 verfügbar ist.

Hinweise:

  • CPPCAP läuft nur auf GAiA mit 64-bit Kernel.
  • Ab R80.20 braucht SecureXL nicht mehr ausgeschaltet werden, während ein Packet Capture erstellt wird.
  • CPPCAP ist aktuell nur für Firewalls im Routing Mode gedacht. Bridge Mode wird in einer späteren Version unterstützt.
  • CPPCAP zeigt wie tcpdump Netzwerkverkehr auf Interface-Ebene an. Zur Erstellen von Captures innerhalb der Firewall Kernel Chains empfiehlt sich weiterhin fw monitor.

[Expert@fw]# cppcap -h

FlagBeschreibung
 -vV VSID                   lowercase to capture only from specific VSID, uppercase for all exec pt VSID
 -iI DEVIC E lowercase to capture only from specific DEVICE, uppercase for all execpt DEVICE         
 -d DIR capture specific direction (‘in’ for inbound, ‘out’ for outbound)
 -f “EXPR” filter specific expression, for syntax, see pcap-filter(7)
 -o FILE save capture to a FILE
 -c NUM capture up to NUM bytes of frame (default 96, ‘0’ for any size)
 -p NUM capture NUM frames before stopping
 -b NUM capture NUM bytes before stopping
 -D verbose datalink layer
 -N verbose network layer
 -T verbose transport layer
 -Q omit time from output

Weitere Beispiele sind auf der pcap manpage zu finden.

Danke Check Point!