tools team/tools

BGPをdumpする簡単な方法

pf

  • FreeBSDの場合
  • 179番portでひっかけてファイルに出力
  • rc.confはこんなかんじ
    f_enable="YES"
    pf_rules="/etc/pf.conf"
    pflog_enable="YES"
    pflog_logfile="/usr/home/pf/pflog"
    pflog_flags="-s 1500"
  • pf.confはこんなかんじ
    pass in quick log proto tcp from any to any port 179 flags any no state
    pass out quick log proto tcp from any to any port 179 flags any no state
    pass in quick log proto tcp from any port 179 to any flags any no state
    pass out quick log proto tcp from any port 179 to any flags any no state
    pass in all
    当然もっと良い書き方あります。
  • newsyslogでrotationを適切に設定。
    • 各ファイルは小さめの方がよいかも

Dumpファイルを読む

tshark

  • wiresharkのテキスト版。様々なオプションが使えて軽い。オススメ
  • tshark -Vr [ファイル名]
  • FreeBSDならportsから入ります。

tcpdump

  • おそい
  • OSに標準で入っているやつじゃない方が良い。
  • FreeBSDならportsを最新に上げてtcpdump(4.0.0以上)を入れる
    • 4.0.0以上でBGP 4byte-AS対応
  • tcpdump -r pflog
    • pfでダンプしたファイルを読む。必要に応じて-vオプションや-Xオプション などをつける。BGPメッセージ内容が比較的読みやすい形式で出力されます。
08:00:30.437244 IP (tos 0xc0, ttl 8, id 9999, offset 0, flags [none], proto  TCP (6), length 576)
    192.168.1.1.bgp > gomez.hoge.jp.60807: Flags [.], cksum 0x2945 (correct), ack 19, win 16004, length 536: BGP, length: 536
       Update Message (2), length: 43
         Withdrawn routes: 20 bytes
       Update Message (2), length: 67
         Origin (1), length: 1, Flags [T]: IGP
         AS Path (2), length: 26, Flags [T]: 65501 2914 12389 9198
         Next Hop (3), length: 4, Flags [T]: 192.168.10.1
         Updated routes:
           88.204.221.0/24
       Update Message (2), length: 87
         Origin (1), length: 1, Flags [T]: IGP
         AS Path (2), length: 30, Flags [T]: 65501 2516 4766 9768 9857
         Next Hop (3), length: 4, Flags [T]: 192.168.10.1
         Updated routes:
           210.124.38.0/24
           210.124.209.0/24
           210.124.211.0/24
           211.253.204.0/24
           211.253.205.0/24

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2010-05-22 (土) 15:40:16 (2762d)