《PIXTroubleshootingTools》由会员分享,可在线阅读,更多相关《PIXTroubleshootingTools(27页珍藏版)》请在金锄头文库上搜索。
1、PIX防火墙的防火墙的Troubleshooting工具工具lSysloglICMPlPacketCapturelShowcommandlOutputInterpreterlPDM/ASDM1什么是什么是Syslog?l记录发生了什么事件?包括流量行为的一系列事件都可以记录发生了什么事件?包括流量行为的一系列事件都可以被记录下来。被记录下来。l是一种很好的是一种很好的troubleshooting的工具,尤其是在的工具,尤其是在PIX重启重启或者或者crash后。后。2Log的级别和数目的级别和数目log级别中包含的具体内容,可参见:级别中包含的具体内容,可参见:用用showlogging可查
2、看目前可查看目前log的设置情况。的设置情况。3配置和使用配置和使用SyslogPix(config)#logginghostinside10.1.15Pix(config)#loggingtrap3Pix(config)#loggingbuffered1Pix(config)#loggingonPix(config)#loggingmonitor4定义定义logserver发送到发送到logserver的级别的级别(错误)(错误)存储在存储在PIX内部内部buffer的级的级别(别(alerts)启用启用log发送到发送到Telnet/SSH的级别的级别(warnning)4如何修改如何修改
3、Syslog消息的级别消息的级别用途:想收到某个消息,但不想收到这个消息同级别其他无用的消息用途:想收到某个消息,但不想收到这个消息同级别其他无用的消息命令语法:命令语法:nologgingmessagelevel将将Syslogmessage111009的级别由的级别由7级修改到级修改到3级(级(error)Pix(config)#loggingmessage111009level3或者或者Pix(config)#loggingmessage111009levelerror用用no命令恢复命令恢复5PIXTroubleshooting工具之二工具之二ping最常用的工具之一,可判断:最常用的
4、工具之一,可判断:l路由的可达性路由的可达性lNAT设置是否正确设置是否正确相关命令:相关命令:debugicmptrace,在,在6.3以下版本,可用以下版本,可用undebugall6PIXTroubleshooting工具之三工具之三PacketCapture举例:举例:access-listcisco_testpermitiphost211.91.211.54host61.242.223.17access-listcisco_testpermitiphost61.242.223.17host211.91.211.54capturein_capinterfaceinsideaccess-
5、listcisco_testcaptureout_capinterfaceoutsideaccess-listcisco_testshowcaptureshowcapturein_capdetailshowcaptureout_capdetail注意:确保注意:确保PIX上启用了上启用了httpserver。7PIXTroubleshooting工具之三工具之三PacketCapture命令语法:命令语法:capturecapture_nametypeasp-drop drop-code|raw-data|isakmp|webvpnuserwebvpn-userurlurlaccess-lis
6、taccess_list_namebufferbuf_sizeethernet-typetypeinterfaceinterface_namepacket-lengthbytescircular-buffertracetrace_countl在版本在版本6.2中首次出现。中首次出现。l可捕获在可捕获在ACL中匹配的包。中匹配的包。l可用可用sniffer软件,如软件,如Iris,ethereal,sniffer等打开。等打开。l保存在内存中,缺省保存在内存中,缺省512kb,当,当buffer满的时候会自动停止。满的时候会自动停止。关键步骤:关键步骤:l在在ACL定义感兴趣的数据流。定义感兴趣
7、的数据流。l将将ACL应用到目标接口。应用到目标接口。8PIXTroubleshooting工具之三工具之三PacketCapture9PIXTroubleshooting工具之四工具之四showcommand10Showconnect和和showconnectdetailpix#shconn1514inuse,66418mostusedTCPout210.72.32.92:4826in10.6.99.97:1433idle0:00:15Bytes4454flagsUIOBTCPout210.72.32.92:4825in10.6.99.97:1433idle0:00:29Bytes4453f
8、lagsUIOBpix#shconndet1521inuse,66418mostusedFlags:A-awaitinginsideACKtoSYN,a-awaitingoutsideACKtoSYN,B-initialSYNfromoutside,C-CTIQBEmedia,D-DNS,d-dump,E-outsidebackconnection,F-outsideFIN,f-insideFIN,G-group,g-MGCP,H-H.323,h-H.225.0,I-inbounddata,i-incomplete,k-Skinnymedia,M-SMTPdata,m-SIPmedia,O-o
9、utbounddata,P-insidebackconnection,q-SQL*Netdata,R-outsideacknowledgedFIN,R-UDPRPC,r-insideacknowledgedFIN,S-awaitinginsideSYN,s-awaitingoutsideSYN,T-SIP,t-SIPtransient,U-upTCPdmz:210.72.32.92/4826inside:10.6.99.97/1433flagsUIOBTCPdmz:210.72.32.92/4825inside:10.6.99.97/1433flagsUIOB显示当前连接情况。显示当前连接情况
10、。11Showxlate和和showxlatedetailpix#shxlate861inuse,8295mostusedGlobal210.72.33.20Local210.72.33.20Global219.235.129.18Local10.6.99.158Global210.72.32.178Local210.72.32.178pix#shxlatedet873inuse,8295mostusedFlags:D-DNS,d-dump,I-identity,i-inside,n-norandom,o-outside,r-portmap,s-staticNATfromdmz:210.72.
11、33.20tooutside:210.72.33.20flagssNATfrominside:10.6.99.158tooutside:219.235.129.18flagss显示当前显示当前NAT转换情况。转换情况。12Showcpuusagepix#showcpuusageCPUutilizationfor5seconds=2%;1minute:2%;5minutes:2%显示当前显示当前CPU利用情况。利用情况。13Showtrafficpix#shtrafficoutside:received(in2.890secs):0packets189971bytes0pkts/sec65733
12、bytes/sectransmitted(in2.890secs):0packets2914252bytes0pkts/sec1008391bytes/secinside:received(in2.890secs):0packets2627283bytes0pkts/sec909094bytes/sectransmitted(in2.890secs):0packets170788bytes0pkts/sec59096bytes/secdmz:received(in2.890secs):0packets305187bytes0pkts/sec105601bytes/sectransmitted(
13、in2.890secs):0packets23331bytes0pkts/sec8073bytes/sec显示在显示在PIX各个接口各个接口的流量情况,出、入的流量情况,出、入包和字节数等。包和字节数等。14Showlocal-hostpix#shlocal-hostInterfacedmz:282active,282maximumactive,0deniedlocalhost:,TCPconnectioncount/limit=0/unlimitedTCPembryoniccount=0TCPinterceptwatermark=unlimitedUDPconnectioncount/lim
14、it=0/unlimitedAAA:Xlate(s):Global210.72.33.20Local210.72.33.20Conn(s):显示本地主机的显示本地主机的TCP、UDP连接和连接和NAT情况。情况。15Showtech-supportShowversionShowclockShowmemoryShowconncountShowxlatecountShowblocksShowinterfaceShowcpuusageShowprocessShowfailoverShowtrafficShowperformShowrunning-config16PIXTroubleshooting工
15、具之五输出解释器工具之五输出解释器l帮助分析输出结果中的错误。帮助分析输出结果中的错误。l需要需要CCO帐号。帐号。17PIXTroubleshooting工具之五输出解释器工具之五输出解释器18PIXTroubleshooting工具之六工具之六PDM/ASDM可通过图形化的管理工具,更直观地监测到如可通过图形化的管理工具,更直观地监测到如CPU、内存、接口带宽等一些动、内存、接口带宽等一些动态参数的运行趋势。态参数的运行趋势。可结合可结合CLI进行维护。进行维护。也可参照也可参照Ciscoworks2000的相关安全管理工具。的相关安全管理工具。19PIX调试中的问题应用不能正常使用调试中
16、的问题应用不能正常使用检查:检查:Permissions:安全策略设置是否正确安全策略设置是否正确Translation:地址翻译设置是否正确。地址翻译设置是否正确。Static和和NAT语句,语句,global语句语句Routing:路由表是否正确:路由表是否正确强烈建议:在强烈建议:在PIX的安全策略、接口、路由,甚至配置改动的时候,尽的安全策略、接口、路由,甚至配置改动的时候,尽可能在条件允许的情况下使用可能在条件允许的情况下使用clearxlate、cleararp、clearlocal-host清除原有的清除原有的xlate、arp和连接!和连接!20PIXTroubleshooti
17、ng案例分析案例分析问题现象:问题现象:用户不能正常访问用户不能正常访问Internet。新连接不能正常使用。新连接不能正常使用。原有连接可正常使用。原有连接可正常使用。分析过程:分析过程:第一步:检查第一步:检查Syslog%PIX-3-211001:MemoryallocationError%PIX-3-211001:MemoryallocationError第二步:检查可用内存第二步:检查可用内存Hardware:PIX-515E,64MRAM-showmemory-Freememory:714696bytesUsedmemory:66394168bytes-Totalmemory:67
18、108864bytes21PIXTroubleshooting案例分析案例分析第三步:是什么用尽了内存?第三步:是什么用尽了内存?第四步:检查第四步:检查Xlatepix#shxlate251inuse,258mostused第五步:检查连接数第五步:检查连接数pix#shconn147456inuse,147456mostused为什么连接数这么高?为什么连接数这么高?22PIXTroubleshooting案例分析案例分析第六步:检查流量情况,用第六步:检查流量情况,用showtraffic命令。命令。检查结果:大多数的流量都是流入检查结果:大多数的流量都是流入Inside接口,从接口,从
19、Outside接口接口流出。流出。-showtraffic-outside:received(in25.000secs):1475packets469050bytes59pkts/sec18762bytes/sectransmitted(in25.000secs):167619packets 9654480bytes6704pkts/sec386179bytes/secinside:received(in25.000secs):180224packets 10410480bytes7208pkts/sec416419bytes/sectransmitted(in25.000secs):1050
20、packets118650bytes42pkts/sec4746bytes/sec23PIXTroubleshooting案例分析案例分析第七步:分析第七步:分析为什么连接数如此高,但为什么连接数如此高,但Xlate数却不高?数却不高?结论:结论:l每一个每一个Xlate使用了大量的使用了大量的connection。l可能某个或者几个主机正在使用大量的可能某个或者几个主机正在使用大量的connection。l大多数情况下是由病毒或者攻击引起的。大多数情况下是由病毒或者攻击引起的。24PIXTroubleshooting案例分析案例分析第八步:查找产生大量第八步:查找产生大量connection
21、的主机的主机pix#shlocal-host|includehost|count/limitlocalhost:,TCPconnectioncount/limit=146608/unlimitedUDPconnectioncount/limit=0/unlimited使用正则表达式,只查看使用正则表达式,只查看host或者或者count/limit行。行。结果表明:主机结果表明:主机10.1.1.99几乎用了所有的连接,都是基于几乎用了所有的连接,都是基于TCP的应用。的应用。25PIXTroubleshooting案例分析案例分析第九步:看看这台主机在做什么?第九步:看看这台主机在做什么?p
22、ix#shlocal-host10.1.1.99Interfaceinside:250active,250maximumactive,0deniedlocalhost:,TCPconnectioncount/limit=146608/unlimitedTCPembryoniccount=146606TCPinterceptwatermark=unlimitedUDPconnectioncount/limit=0/unlimitedAAA:Xlate(s):Global209.165.201.21Local10.1.1.99Conn(s):TCPout64.101.32.153:135in10.
23、1.1.99:34580idle0:00:15Bytes0flagssaATCPout64.103.108.191:135in10.1.1.99:8688idle0:00:29Bytes0flagssaATCPout64.100.205.160:135in10.1.1.99:12335idle0:00:15Bytes0flagssaATCPout64.101.25.195:135in10.1.1.99:2978idle0:00:20Bytes0flagssaATCPout64.101.33.128:135in10.1.1.99:41589idle0:00:20Bytes0flagssaAFla
24、gs:A-awaitinginsideACKtoSYN,a-awaitingoutsideACKtoSYN,s-awaitingoutsideSYN都是半连接状态,都是半连接状态,TCP135,冲击波病毒,冲击波病毒!26PIXTroubleshooting案例分析案例分析第十步:如何处理?第十步:如何处理?PIX提供了两种方法限制每台主机的连接数。提供了两种方法限制每台主机的连接数。TCPInterceptMaxConnectionsTCPIntercept主要针对源地址欺骗情况,这里不能使用,因为源地址主机是合法的。主要针对源地址欺骗情况,这里不能使用,因为源地址主机是合法的。第十一步:用
25、第十一步:用nat命令或者命令或者static命令限制最大连接数。命令限制最大连接数。Pix(config)#nat(inside)10.0.0.00.0.0.0500Pix)#clearlocal-host10.1.1.99pix#shlocal-host10.1.1.99Interfaceinside:250active,250maximumactive,0deniedlocalhost:,TCPconnectioncount/limit=50/50TCPembryoniccount=50pix#shconn126inuse,147456mostused-showmemory-Freememory:47716152bytesUsedmemory:19392712bytes-Totalmemory:67108864bytes27
