test

Guía de administración del sistema: servicios IP

Control de transferencias de paquetes con el comando snoop

El comando snoop es apto para supervisar el estado de las transferencias de datos. El comando snoop captura paquetes de red y muestra su contenido en el formato que se especifica. Los paquetes se pueden visualizar nada más recibirse o se pueden guardar en un archivo. Si el comando snoop escribe en un archivo intermedio, es improbable que haya pérdidas de paquete en situaciones de seguimiento ocupado. El propio comando snoop se utiliza para interpretar el archivo.

Para capturar paquetes en y desde la interfaz predeterminada en modo promiscuo, se debe adquirir la función de administración de redes o convertirse en superusuario. En el formato resumido, snoop sólo muestra los datos relativos al protocolo de nivel más alto. Por ejemplo, un paquete de NFS muestra únicamente información de NFS. Se suprime la información subyacente de RPC, UDP, IP y Ethernet; sin embargo, se puede visualizar en caso de elegir cualquiera de las opciones detalladas.

Utilice el comando snoop con frecuencia y buen criterio para familiarizarse con el comportamiento normal del sistema. Para obtener asistencia en el análisis de paquetes, busque documentación técnica reciente y funciones de petición de comentarios; asimismo, solicite el consejo de un experto en un ámbito determinado, por ejemplo NFS o NIS. Para obtener más información sobre el comando snoop y sus opciones, consulte la página de comando man snoop(1M)

ProcedureCómo comprobar paquetes de todas las interfaces

  1. En el host local, adquiera la función de administrador de redes o la de superusuario.

    Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Imprima la información relativa a las interfaces conectadas al sistema. 


    # ifconfig -a

    El comando snoop suele utilizar el primer dispositivo que no es de bucle de retorno, en general la interfaz de red principal.

  3. Comience a capturar paquetes escribiendo el comando snoop sin argumentos, como se muestra en el Ejemplo 8–19.

  4. Para detener el proceso, pulse Control+C.

Ejemplo 8–19 Salida del comando snoop

La salida básica que genera el comando snoop se parece a la siguiente en el caso de un host de doble pila.


% snoop
Using device /dev/hme (promiscuous mode)
farhost.remote.com -> myhost       RLOGIN C port=993 
    myhost -> farhost.remote.com   RLOGIN R port=993 Using device /dev/hme
router5.local.com -> router5.local.com ARP R 10.0.0.13, router5.local.com is
    0:10:7b:31:37:80
router5.local.com -> BROADCAST     TFTP Read "network-confg" (octet)
farhost.remote.com -> myhost       RLOGIN C port=993 
    myhost ->   nisserve2          NIS C MATCH 10.0.0.64 in ipnodes.byaddr
nisserve2 ->    myhost             NIS R MATCH No such key
    blue-112 -> slave-253-2        NIS C MATCH 10.0.0.112 in ipnodes.byaddr
myhost -> DNSserver.local.com      DNS C 192.168.10.10.in-addr.arpa. Internet PTR ?
DNSserver.local.com  myhost        DNS R 192.168.10.10.in-addr.arpa. Internet PTR 
   niserve2.
.
.
farhost.remote.com-> myhost        RLOGIN C port=993 
    myhost -> farhost.remote.com   RLOGIN R port=993 fe80::a00:20ff:febb:
.
fe80::a00:20ff:febb:e09 -> ff02::9 RIPng R (5 destinations)

Los paquetes que se capturan en esta salida muestran una sección de inicio de sesión remoto, incluidas las búsquedas en los servidores NIS y DNS para resolver direcciones. También se incluyen paquetes ARP periódicos del enrutador local y anuncios de la dirección local de vínculos IPv6 en el comando in.ripngd.

ProcedureCómo capturar salida del comando snoop en un archivo

  1. En el host local, adquiera la función de administrador de redes o la de superusuario.

    Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Capture una sesión de snoop en un archivo.


    # snoop -o filename

    Por ejemplo:


    # snoop -o /tmp/cap
Using device /dev/eri (promiscuous mode)
30 snoop: 30 packets captured

    En el ejemplo, se han capturado 30 paquetes en un archivo que se denomina /tmp/cap. El archivo se puede ubicar en cualquier directorio que disponga de suficiente espacio en disco. La cantidad de paquetes capturados se muestra en la línea de comandos, y permite pulsar Control+C para cancelar en cualquier momento.

    El comando snoop crea una evidente carga de red en el equipo host que puede distorsionar el resultado. Para ver el resultado real, snoop debe ejecutarse desde otro sistema.

  3. Inspeccione el archivo de capturas de la salida del comando snoop.


    # snoop -i filename
Ejemplo 8–20 Contenido de un archivo de capturas de la salida del comando snoop

La salida siguiente muestra distintas capturas que se pueden recibir como salida del comando snoop -i.


# snoop -i /tmp/cap
1   0.00000 fe80::a00:20ff:fee9:2d27 -> fe80::a00:20ff:fecd:4375 
    ICMPv6 Neighbor advertisement
2   0.16198 farhost.com   -> myhost     RLOGIN C port=985 
3   0.00008 myhost -> farhost.com       RLOGIN R port=985 
10  0.91493    10.0.0.40 -> (broadcast)  ARP C Who is 10.0.0.40, 10.0.0.40 ?
34  0.43690 nearserver.here.com  -> 224.0.1.1  IP  D=224.0.1.1 S=10.0.0.40 LEN=28, 
      ID=47453, TO =0x0, TTL=1
35  0.00034  10.0.0.40 -> 224.0.1.1    IP  D=224.0.1.1 S=10.0.0.40 LEN=28, ID=57376, 
     TOS=0x0, TTL=47

ProcedureCómo comprobar paquetes entre un cliente y un servidor IPv4

  1. Establezca un sistema snoop fuera de un concentrador conectado al cliente o al servidor.

    El tercer sistema (sistema snoop) comprueba todo el tráfico involucrado, de manera que el seguimiento de snoop refleja lo que sucede realmente en la conexión.

  2. En el sistema snoop, adquiera la función de administrador de red o conviértase en superusuario.

    Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  3. Escriba el comando snoop con opciones y guarde la salida que se genere en un archivo.

  4. Inspeccione e interprete la salida.

    Consulte RFC 1761, Snoop Version 2 Packet Capture File Format para obtener más información sobre el archivo de capturas del comando snoop.

ProcedureCómo supervisar tráfico de redes IPv6

El comando snoop puede utilizarse para supervisar únicamente paquetes de IPv6.

  1. En el nodo local, adquiera la función de administrador de redes o conviértase en superusuario.

    Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Capture paquetes de IPv6.


    # snoop ip6

    Para obtener más información sobre el comando snoop, consulte la página de comando man snoop(1M).

Ejemplo 8–21 Visualización sólo de tráfico de redes IPv6

En el ejemplo siguiente se muestra una salida típica que puede recibirse tras ejecutar el comando snoop ip6 en un nodo.


# snoop ip6
fe80::a00:20ff:fecd:4374 -> ff02::1:ffe9:2d27 ICMPv6 Neighbor solicitation
fe80::a00:20ff:fee9:2d27 -> fe80::a00:20ff:fecd:4375 ICMPv6 Neighbor 
      solicitation
fe80::a00:20ff:fee9:2d27 -> fe80::a00:20ff:fecd:4375 ICMPv6 Neighbor 
      solicitation
fe80::a00:20ff:febb:e09 -> ff02::9      RIPng R (11 destinations)
fe80::a00:20ff:fee9:2d27 -> ff02::1:ffcd:4375 ICMPv6 Neighbor solicitation