sk141412 beschreibt, dass tcpdump die CPU-Auslastung erheblich steigern kann, was großen Einfluss auf die Firewall-Performance hat.
Daher stellt Check Point ein besser auf sein GAiA Betriebssystem abgestimmtes Interface Packet Capturing Werkzeug CPPCAP bereit, welches als RPM-Download für R77.30, R80.10 und R80.20 verfügbar ist.
Hinweise:
- CPPCAP läuft nur auf GAiA mit 64-bit Kernel.
- Ab R80.20 braucht SecureXL nicht mehr ausgeschaltet werden, während ein Packet Capture erstellt wird.
- CPPCAP ist aktuell nur für Firewalls im Routing Mode gedacht. Bridge Mode wird in einer späteren Version unterstützt.
- CPPCAP zeigt wie tcpdump Netzwerkverkehr auf Interface-Ebene an. Zur Erstellen von Captures innerhalb der Firewall Kernel Chains empfiehlt sich weiterhin fw monitor.
[Expert@fw]# cppcap -h
Flag | Beschreibung |
-vV VSID | lowercase to capture only from specific VSID, uppercase for all exec pt VSID |
-iI DEVIC E | lowercase to capture only from specific DEVICE, uppercase for all execpt DEVICE |
-d DIR | capture specific direction (‘in’ for inbound, ‘out’ for outbound) |
-f “EXPR” | filter specific expression, for syntax, see pcap-filter(7) |
-o FILE | save capture to a FILE |
-c NUM | capture up to NUM bytes of frame (default 96, ‘0’ for any size) |
-p NUM | capture NUM frames before stopping |
-b NUM | capture NUM bytes before stopping |
-D | verbose datalink layer |
-N | verbose network layer |
-T | verbose transport layer |
-Q | omit time from output |
Weitere Beispiele sind auf der pcap manpage zu finden.
Danke Check Point!