NetScreen防火墙用Debug命令的抓包方法

1、NetScreen防火墙用Debug命令的抓包方法本文简单介绍在NetScreen防火墙上用Debug命令进行抓包的方法，希望能对调试NetScreen防火墙时有所帮助。但请注意的时：Debug命令会占用CPU的资源，如果是在线系统，请慎用。同时在调试完后，请用undebuf all命令把debug命令关闭。1 NetScreen防火墙的Debug命令a) 设置Debug输出的过滤在防火墙上启用Debug命令后，输出的内容会很多，为了能抓到我们所需要的信息，可以对Debug的输出进行过滤。在防火墙上用set ffilter命令设置过滤。ns500(M)-> set ffilter ?&l

2、t;return>dst-ip flow filter dst ip /设置输出的目的IP地址dst-port flow filter dst port /设置输出的目的IP端口号ip-proto flow filter ip proto /设置输出的源IP包的类型src-ip flow filter src ip /设置输出的源IP地址src-port flow filter src port /设置输出的源IP端口号还可以通过设置“与”或“或”来设置输出的过滤。如果输出的条件为“与”，则要在一个命令行中把所有的条件输完，如：set ffilter src-ip 10.1.10.5 d

3、st-ip 2.2.2.222 ip-proto 6 则是设置输出的源IP地址为10.1.10.5，目的IP地址为2.2.2.222，IP包类型为6。符合条件的debug信息才能输出。如果输出的条件为“或”，则每个条件为一个命令行，如：set ffilter src-ip 10.1.10.5set ffilter dst-ip 2.2.2.222set ffilter ip-proto 6以上设置是把符合源IP地址为10.1.10.5，或目的IP地址为2.2.2.222，或IP包类型为6的数据包输出。校验设置的过滤条件，用get ffilter命令：ns500(M)-> get ffil

4、terFlow filter based on:id:0 src ip 10.1.10.5id:1 dst ip 2.2.2.222id:2 ip proto 6要删除过滤条件，用命令unset ffilter <id号>，如把前面的id 号为1的条件删除：ns500(M)-> get ffilterFlow filter based on:id:0 src ip 10.1.10.5id:1 dst ip 2.2.2.222id:2 ip proto 6ns500(M)-> unset ffilter 1filter 1 removedns500(M)-> get

5、 ffilterFlow filter based on:id:0 src ip 10.1.10.5id:1 ip proto 6b) 设置debug的输出：Debug的输出可以输出到console口，也可以输出到debug buffer。由于一般调试时是通过telnet连接到防火墙上，所以建议把debug输出到debuf buffer中。命令：Set console dbuf把debug的输出到debuf buffer中，较验：ns500(M)-> get consoleConsole timeout: 10(minute), Page size: 22/22, debug: buff

6、erprivilege 250, config was changed and not saved!ID State Duration Task Type Host 0 Login 699 46 Telnet 10.0.0.244:1125 1 Logout 0 40 Local 2 Logout 0 29 Local 3 Logout 0 18 Local命令：ns500(M)-> unset console dbuf把debug的输出送到console口上ns500(M)-> get consoleConsole timeout: 10(minute), Page size:

7、22/22, debug: consoleprivilege 250, config was changed and not saved!ID State Duration Task Type Host 0 Login 768 46 Telnet 10.0.0.244:1125 1 Logout 0 40 Local 2 Logout 0 29 Local 3 Logout 0 18 Localc) 启用基于流的debugNetScreen的debug命令有很多参数，在我们的一般调试中，用以下的命令一般可以满足要求：Debug flow basic校验debug是否打开，可用以下命令查看：ns

8、500(M)-> get debugflow: basicd) 查看debug输出：用get dbuf stream可以查看到相关的debug 信息输出。用clear dbuf把dbuf中的信息清掉。e) 关闭debug命令：可以用undebug all 命令把所有的debug命令关掉。因debug命令会占用cpu资源，一定要记得把debug命令关掉，同时，如果是在线系统，请慎用debug命令。2 debug的输出信息 Debug信息一般都有比较详尽输出信息，仔细查看，一般可以找到问题的原因，下面为二个输出的例子：a) 例子一：* 01477.0: <trust> packe

9、t received 59*trust:10.1.10.5/2383->204.213.252.4/53,17 packet dropped, no route packet dropped, no route* 01478.0: <trust> packet received 59*trust:10.1.10.5/2383->204.31.1.3/53,17 packet dropped, no route packet dropped, no route此信息提示没有到目的网段的路由。b) 例子二：* 01674.0: <trust> packet received 48*trust:10.1.10.5/2387->64.102.255.95/21,6 route 64.102.255.95->2.2.2.254, to untrust search acl set 0 packet dropped, denied by policy* 01677.0: <trust> packet received 48*trus