Registro de pacotes


Esta função permite o monitoramento de pacotes IPv4 ou IPv6 de acordo com uma expressão de log definida pelo usuário. A expressão deve ser definida usando símbolos especiais. O registro de pacotes pode ser cancelado removendo a entrada da expressão.


Nota

Kerio Control também oferece uma lixeira de pacotes. Ela salva o tráfego desejado em um arquivo que pode ser baixado e aberto pelo Wireshark. Consulte a seção Criando e baixando despejos de pacote abaixo.



Configurando o registro de pacotes


1. Na interface de administração, vá para Registros > Debug.

2. Clique com o lado direito do mouse dentro da janela que mostra os registros de Debug.

3. No menu de contexto, clique em Registro de pacotes.

4. Digite uma expressão.

5. Clique OK.



Expressão lógica


Os pacotes podem ser descritos por expressões lógicas seguindo este padrão:


variável 1 = valor 1 & variável 2 = valor 2 | variável 3 = valor 3, onde: 


  • variável 1 ... variável N são informações características sobre o pacote (veja abaixo)
  • & é o operador lógico and
  • | é o operador lógico or



Interpretação de expressões lógicas


As expressões são analisadas de acordo com a prioridade dos operadores individuais: o operador & é analisado antes de |. Se várias condições forem conectadas pelo mesmo operador, a expressão é analisada da esquerda para a direita. Se necessário, parênteses podem ser usados para determinar a prioridade das condições: 


variável 1 = valor 1 & (variável 2 = valor 2 | variável 3 = valor 3)



Variáveis


As seguintes variáveis podem ser usadas em expressões lógicas que definem pacotes:


any 


Todos os pacotes IP são registrados(a condição é sempre atendida). Não faria sentido combinar qualquer opção com outra(s) condição(ões).


addr/ 


Endereço IP de origem ou destino do pacote.


saddr 


Endereço IP de origem.


daddr 


Endereço IP de destino.


Defina as condições para addr, saddr, daddr da seguinte forma:



Para o protocolo IPv6, você pode inserir apenas endereços de host. Não é possível especificar uma sub-rede pelo prefixo e seu comprimento ou por um intervalo de endereços.


port


Número da porta de origem ou destino (TCP ou UDP).


sport 


Número da porta de origem.


dport 


Número da porta de destino.



if


Interface (em qualquer direção).


iif


Interface de entrada.


oif


Interface de saída.



Condições permitidas:


Condição                                        Descrição

= "nome da interface"                                Nome da interface usada pelo Kerio Control

= vpnclient                                                 Qualquer cliente VPN

= vpn                                                          Qualquer cliente VPN 

= vpn: "Nome da conexão VPN"                Nome da conexão VPN



direc


Direção do pacote:


  • = in - pacote de entrada
  • = saída - pacote de saída



tcpfl


Sinalizadores no cabeçalho TCP.


Opções: FIN SYN RST PSH ACK URG NONE (nenhuma) ALL (todas). 


Qualquer pacote TCP contendo sinalizadores especificados (quando seu valor é 1) atende à condição. Sinalizadores não usados na especificação são ignorados.


Os sinalizadores individuais da variável tcpfl podem ser marcados pelo símbolo + (o sinalizador está habilitado) ou pelo símbolo - (o sinalizador está desabilitado). Todas as condições são sinalizadas por padrão, a menos que um desses símbolos seja usado.


Exemplo: A expressão tcpfl = SYN + ACK -RST é atendida por qualquer pacote sinalizado por SYN e ACK que tenha um sinalizador RST desabilitado.



Exemplos


Esta expressão lógica define os pacotes de serviço de Rede Microsoft na interface da Internet:


if = "Internet" & (porta> = 137 & porta <= 139 | porta = 445)

Esta expressão define os pacotes que saem da interface da Internet e são direcionados ao servidor WWW com o endereço IP 123.32.45.67 na porta 80 ou 8080:


oif = "Internet" & daddr = 123.32.45.67 & (dport = 80 | dport = 8080)

Esta expressão define pacotes TCP de entrada sinalizados por SYN (estabelecimento de conexão TCP):


direct = in & tcp = SYN



Criação e download de pacotes de despejo


1. Na interface de administração, vá para Registros > Debug.

2. No menu de contexto, clique em Descarga de pacote para arquivo.

3. Digite uma expressão.

4. Para criar o despejo do pacote e iniciar o registro, clique em Iniciar.

5. Você tem informações suficientes? Clique em Parar.

6. Clique em Download e salve o arquivo em seu computador.