定位主要分为基础,硬件故 障定位命令,攻击定位命令。
一. 基础命令
show version
显示当前设备 使用的IOS、PDM版本,确认防火墙的硬件型号,license 版本,设备序列号等信息。
例
Cisco PIX Security Appliance Software Version 7.0(4)
Device Manager Version 5.0(4)
Compiled on Thu 13-Oct-05 21:43 by builders
System image file is "flash:/image"
Config file at boot was "startup-config"
shdxiptv-pix525 up 127 days 23 hours
Hardware:
PIX-525, 256 MB RAM, CPU Pentium III 600 MHz
Flash E28F128J3 @ 0xfff00000, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
0: Ext: Ethernet0
: address is 0017.9514.51d4, irq 10
1: Ext: Ethernet1
: address is 0017.9514.51d5, irq 11
2: Ext: Ethernet2
: address is 000d.8811.105c, irq 11
3: Ext: Ethernet3
: address is 000d.8811.105d, irq 10
4: Ext: Ethernet4
: address is 000d.8811.105e, irq 9
5: Ext: Ethernet5
: address is 000d.8811.105f, irq 5
Licensed features for this platform:
Maximum Physical Interfaces : 10
Maximum VLANs
: 100
Inside Hosts
: Unlimited
Failover
: Active/Active
VPN-DES
: Enabled
VPN-3DES-AES
: Enabled
Cut-through Proxy
: Enabled
Guards
: Enabled
URL Filtering
: Enabled
Security Contexts
: 2
GTP/GPRS
: Disabled
VPN Peers
: Unlimited
This platform has an Unrestricted (UR) license.
Serial Number: xxxxxxxx
Running Activation Key: 0x26142d72 0x68ee9808 0x1820a588 0x9a04c080 0x4517f8bf
Configuration last modified by enable_15 at 20:25:22.869 HKST Thu Jul 17 2008
show run
显示当前设备 的实时配置命令,该命令显示的是当前正在使用的设备配置和策略。
show flash
查看防火墙的 闪存。一般情况下,防火墙的IOS文件、PDM文件、开机配置文件保存在这里。
二. 硬件故障定位命令
show interface
这条命令用来 判断双工的匹配问题和电缆故障,也可以看出接口是否过载了。如果PIX的CPU资源耗尽了,那么1550字节的block会接近0,如果是千兆 口,16384字节的block接近0。另外一个信号是”no buffers”的值不断增加,它表明接口接收包的速率太快,PIX来不及处理,也没有足够的block去承载,已经有丢包产生了。如果”no buffer”伴随着CPU的使用率升高,说明该考虑升级到性能更强的防火墙了。当数据包进入接口时,被放在input hardware queue中,如果该queue满了,被放在input software queue中。包然后从input queue中被放到block中等待PIX OS的处理,PIX决定把包放到哪个出口,即哪个output hardware queue中,如果该queue满了,就放到output software queue中;如果每个软队列中的max blocks都很大,就称之为”overrun”。常见的情况是入口和出口的数据传输速率不匹配,就会出现overrun,这时应该考虑升级接口了。
例
pixfirewall# show interface
interface ethernet0 "inside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0002.b31b.99ff
IP address 9.9.9.1, subnet mask 255.255.255.0
MTU 1500 bytes, BW 100000 Kbit full duplex
4630 packets input, 803174 bytes, 0 no buffer
Received 2 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
4535 packets output, 445424 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/1)
output queue (curr/max blocks): hardware (0/2) software (0/1)
show block
可以判断出 PIX是否过载了。
当一个数据包进入防火墙的接口,会先排在 input接口的队列中,根据数据帧的大小,又被分到不同的block中。如对于以太网帧,使用1550字节的block。如果数据是从千兆口进来的,会 使用16384字节的block。PIX然后会根据ASA算法决定是否让包通过。如果PIX过载了,那相应的block会降到或接近0(看CNT这一 列)。当该值降到0时,PIX会尝试申请更多的block, 最多可到8192。如果没有block可用,包会被丢弃。
例
pixfirewall# show blocks
SIZE MAX LOW CNT
4 1600 1597 1600
80 400 399 400
256 500 495 499
1550 1444 1170 1188
16384 2048 1532 1538
show traffic
本命令可以看 出在特定的时间内有多少流量流经PIX了。这个特定的时间是上次执行本命令到这次执行本命令的时间间隔。我们可以看到各个接口的数据流量情况。
pixfirewall# show traffic
outside:
received (in 124.650 secs):
295468 packets 167218253 bytes
2370 pkts/sec 1341502 bytes/sec
transmitted (in 124.650 secs):
260901 packets 120467981 bytes
2093 pkts/sec 966449 bytes/sec
inside:
received (in 124.650 secs):
261478 packets 120145678 bytes
2097 pkts/sec 963864 bytes/sec
transmitted (in 124.650 secs):
294649 packets 167380042 bytes
2363 pkts/sec 1342800 bytes/sec
一. 基础命令
show version
显示当前设备 使用的IOS、PDM版本,确认防火墙的硬件型号,license 版本,设备序列号等信息。
例
Cisco PIX Security Appliance Software Version 7.0(4)
Device Manager Version 5.0(4)
Compiled on Thu 13-Oct-05 21:43 by builders
System image file is "flash:/image"
Config file at boot was "startup-config"
shdxiptv-pix525 up 127 days 23 hours
Hardware:
PIX-525, 256 MB RAM, CPU Pentium III 600 MHz
Flash E28F128J3 @ 0xfff00000, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
0: Ext: Ethernet0
: address is 0017.9514.51d4, irq 10
1: Ext: Ethernet1
: address is 0017.9514.51d5, irq 11
2: Ext: Ethernet2
: address is 000d.8811.105c, irq 11
3: Ext: Ethernet3
: address is 000d.8811.105d, irq 10
4: Ext: Ethernet4
: address is 000d.8811.105e, irq 9
5: Ext: Ethernet5
: address is 000d.8811.105f, irq 5
Licensed features for this platform:
Maximum Physical Interfaces : 10
Maximum VLANs
: 100
Inside Hosts
: Unlimited
Failover
: Active/Active
VPN-DES
: Enabled
VPN-3DES-AES
: Enabled
Cut-through Proxy
: Enabled
Guards
: Enabled
URL Filtering
: Enabled
Security Contexts
: 2
GTP/GPRS
: Disabled
VPN Peers
: Unlimited
This platform has an Unrestricted (UR) license.
Serial Number: xxxxxxxx
Running Activation Key: 0x26142d72 0x68ee9808 0x1820a588 0x9a04c080 0x4517f8bf
Configuration last modified by enable_15 at 20:25:22.869 HKST Thu Jul 17 2008
show run
显示当前设备 的实时配置命令,该命令显示的是当前正在使用的设备配置和策略。
show flash
查看防火墙的 闪存。一般情况下,防火墙的IOS文件、PDM文件、开机配置文件保存在这里。
二. 硬件故障定位命令
show interface
这条命令用来 判断双工的匹配问题和电缆故障,也可以看出接口是否过载了。如果PIX的CPU资源耗尽了,那么1550字节的block会接近0,如果是千兆 口,16384字节的block接近0。另外一个信号是”no buffers”的值不断增加,它表明接口接收包的速率太快,PIX来不及处理,也没有足够的block去承载,已经有丢包产生了。如果”no buffer”伴随着CPU的使用率升高,说明该考虑升级到性能更强的防火墙了。当数据包进入接口时,被放在input hardware queue中,如果该queue满了,被放在input software queue中。包然后从input queue中被放到block中等待PIX OS的处理,PIX决定把包放到哪个出口,即哪个output hardware queue中,如果该queue满了,就放到output software queue中;如果每个软队列中的max blocks都很大,就称之为”overrun”。常见的情况是入口和出口的数据传输速率不匹配,就会出现overrun,这时应该考虑升级接口了。
例
pixfirewall# show interface
interface ethernet0 "inside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0002.b31b.99ff
IP address 9.9.9.1, subnet mask 255.255.255.0
MTU 1500 bytes, BW 100000 Kbit full duplex
4630 packets input, 803174 bytes, 0 no buffer
Received 2 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
4535 packets output, 445424 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/1)
output queue (curr/max blocks): hardware (0/2) software (0/1)
show block
可以判断出 PIX是否过载了。
当一个数据包进入防火墙的接口,会先排在 input接口的队列中,根据数据帧的大小,又被分到不同的block中。如对于以太网帧,使用1550字节的block。如果数据是从千兆口进来的,会 使用16384字节的block。PIX然后会根据ASA算法决定是否让包通过。如果PIX过载了,那相应的block会降到或接近0(看CNT这一 列)。当该值降到0时,PIX会尝试申请更多的block, 最多可到8192。如果没有block可用,包会被丢弃。
例
pixfirewall# show blocks
SIZE MAX LOW CNT
4 1600 1597 1600
80 400 399 400
256 500 495 499
1550 1444 1170 1188
16384 2048 1532 1538
show traffic
本命令可以看 出在特定的时间内有多少流量流经PIX了。这个特定的时间是上次执行本命令到这次执行本命令的时间间隔。我们可以看到各个接口的数据流量情况。
pixfirewall# show traffic
outside:
received (in 124.650 secs):
295468 packets 167218253 bytes
2370 pkts/sec 1341502 bytes/sec
transmitted (in 124.650 secs):
260901 packets 120467981 bytes
2093 pkts/sec 966449 bytes/sec
inside:
received (in 124.650 secs):
261478 packets 120145678 bytes
2097 pkts/sec 963864 bytes/sec
transmitted (in 124.650 secs):
294649 packets 167380042 bytes
2363 pkts/sec 1342800 bytes/sec
攻击定位命令
show memory
可以看出PIX的内存以及当前可用的内存。正常情況下,PIX的可用内存的变化幅度不大。如果突然发现内 存使用过多,应检查是否有攻击发生。
例
Free memory:
199529272 bytes (74%)
Used memory:
68906184 bytes (26%)
-------------
----------------
Total memory:
268435456 bytes (100%)
show cpu usage
查看PIX的CPU负载情況。PIX只有一个CPU来完成所有的工作,从处理包到向console写 debug信息。最消耗CPU资源的进程是加密,因此如果PIX要完成数据包的加密工作,最好使用加速卡或专用的VPN Concentrator. 日志功能是另外一个消耗大量系统资源的进程。因此,建议在正常情况下关闭PIX向console, monitor, buffer写日志的功能。如果突然发现CPU使用过多,应检查是否有攻击发生。
例
pixfirewall# show cpu usage
CPU utilization for 5 seconds = 1%; 1 minute: 2%; 5 minutes: 1%
show conn count
可以看当前的PIX的最大的连接数。一个connection是一个內部4层信息到外部位址的映射。当PIX收到一个SYN包,就建立一個connection.。 过高connection数意味著受到了攻击。
例
pixfirewall# show conn count
518 in use, 5701 most used
show conn detail
显示当前的PIX的具体TCP、UDP的连接信息。通过该命令找出发起连接数较多的 地址,分析其合法性。
show xlate count
显示当前通过 PIX的变换数和最多达到的变换数。一个变换是指一个内部地址变换成一个外部合法地址。一台机器可能会与外部的多个目标建立连接,但这时只有一个变换。如 果显示的变换数远大于内部的机器数,可能是受到了网络攻击。
例
pixfirewall# show xlate count
84 in use, 218 most used
show xlate
显示当前的PIX的具体转换数。通过该命令找出发起转换数较 多的地址,分析其合法性。
show failover
我们通过show failover命令来察看两台PIX做故障倒换的实现情况。
show tech
这条命令用来 采集CISCO设备的综 合信息,是上述大部分命令的集合
show memory
可以看出PIX的内存以及当前可用的内存。正常情況下,PIX的可用内存的变化幅度不大。如果突然发现内 存使用过多,应检查是否有攻击发生。
例
Free memory:
199529272 bytes (74%)
Used memory:
68906184 bytes (26%)
-------------
----------------
Total memory:
268435456 bytes (100%)
show cpu usage
查看PIX的CPU负载情況。PIX只有一个CPU来完成所有的工作,从处理包到向console写 debug信息。最消耗CPU资源的进程是加密,因此如果PIX要完成数据包的加密工作,最好使用加速卡或专用的VPN Concentrator. 日志功能是另外一个消耗大量系统资源的进程。因此,建议在正常情况下关闭PIX向console, monitor, buffer写日志的功能。如果突然发现CPU使用过多,应检查是否有攻击发生。
例
pixfirewall# show cpu usage
CPU utilization for 5 seconds = 1%; 1 minute: 2%; 5 minutes: 1%
show conn count
可以看当前的PIX的最大的连接数。一个connection是一个內部4层信息到外部位址的映射。当PIX收到一个SYN包,就建立一個connection.。 过高connection数意味著受到了攻击。
例
pixfirewall# show conn count
518 in use, 5701 most used
show conn detail
显示当前的PIX的具体TCP、UDP的连接信息。通过该命令找出发起连接数较多的 地址,分析其合法性。
show xlate count
显示当前通过 PIX的变换数和最多达到的变换数。一个变换是指一个内部地址变换成一个外部合法地址。一台机器可能会与外部的多个目标建立连接,但这时只有一个变换。如 果显示的变换数远大于内部的机器数,可能是受到了网络攻击。
例
pixfirewall# show xlate count
84 in use, 218 most used
show xlate
显示当前的PIX的具体转换数。通过该命令找出发起转换数较 多的地址,分析其合法性。
show process
显示当前
PIX中的活动的进程有什么。这样就可以看出什么进程使用了过多的CPU资源,什么进程没能使用CPU资源。为了得到这个信息,我们连续两次执行show
process命令,间隔一定时间。对有所怀疑的进程,两次的Runtime值相减,时间差(单位是毫秒)就是该进程一定时间内所占用的CPU资源。
show log
我们用show log命令察看PIX的日志功能开启情况和日志信息。
show failover
我们通过show failover命令来察看两台PIX做故障倒换的实现情况。
show tech
这条命令用来 采集CISCO设备的综 合信息,是上述大部分命令的集合