sage logo
Habla con un experto
Bajo ataque

Feb 16, 2026

Desvendando a Captura de Pacotes no Junos OS: Guia Prático para Linhas SRX e MX

captura de pacotes no Junos OS

Para administradores de rede e engenheiros de segurança que operam equipamentos Juniper, a visibilidade do tráfego é a pedra angular da resolução de problemas e da segurança cibernética. Seja para identificar padrões de invasão, como ping scans, ou para solucionar falhas complexas de conectividade, a captura de pacotes no Junos OS é uma ferramenta indispensável, pois permite coletar dados em tempo real diretamente das interfaces físicas e lógicas.

 

Os três caminhos da análise de tráfego

Diferentemente de sistemas operacionais mais rígidos, o Junos oferece três abordagens principais, dependendo da profundidade necessária e do modelo do equipamento:

 

  1. Captura via modo de configuração: ideal para análises detalhadas, capturando o pacote inteiro (incluindo o cabeçalho de Camada 2) no formato .pcap.
  2. Captura via modo operacional: exclusiva para modelos SRX de alta performance (como SRX4600 e série SRX5000), permitindo capturas rápidas, com impacto mínimo ao sistema e sem alterar a configuração permanente.
  3. Monitor traffic: ferramenta operacional para visualização rápida de cabeçalhos em tempo real diretamente no terminal.

 

Implementação prática via CLI

Para realizar uma captura completa que possa ser analisada posteriormente no Wireshark, seguimos um fluxo lógico de configuração:

 

1. Definição dos parâmetros do arquivo

Primeiro, determinamos como o sistema deve gerenciar os dados. No nível de hierarquia [edit forwarding-options packet-capture], definimos o tamanho máximo do pacote (até 1500 bytes), o nome do arquivo, a rotação (número de arquivos) e o tamanho de cada arquivo. É recomendável usar a opção world-readable caso usuários sem privilégios de root precisem acessar os dados.

 

2. O Papel do Filtro de Firewall

A captura de pacotes funciona por amostragem. Para evitar sobrecarga no processamento do roteador, criamos um filtro de firewall que seleciona apenas o tráfego de interesse. O termo crucial aqui é then sample accept. Sem essa ação de amostragem, o tráfego passará pela interface, mas não será enviado para o buffer de captura.

 

3. Aplicação na Interface

O filtro deve ser aplicado na interface desejada nas direções input, output ou em ambas.

 

Um detalhe técnico vital: o tráfego gerado pelo Routing Engine (RE), como protocolos de roteamento (OSPF, BGP) e ARP, costuma ignorar o módulo de fluxo. Para capturar esses pacotes específicos, é obrigatório aplicar o filtro na direção de saída (output) da interface.

 

Monitoramento em tempo real: monitor traffic

Quando a necessidade é apenas verificar se um pacote está chegando, o comando monitor traffic é a escolha ideal. Ele exibe os cabeçalhos dos pacotes instantaneamente.

 

Contudo, deve-se usar opções como matching ou count para limitar a saída e evitar a degradação do desempenho do sistema. Por exemplo, para monitorar apenas o tráfego ARP, utiliza-se: monitor traffic interface [nome] matching “arp”.

 

Regras de ouro e limitações

Para garantir o sucesso da operação e a integridade do hardware, considere as seguintes diretrizes:

 

  • Desativação obrigatória: antes de transferir os arquivos de /var/tmp via FTP ou SCP, é necessário desativar a captura (set packet-capture disable). Isso garante que o buffer interno seja “lavado” (flushed) e que todos os dados sejam gravados em disco.
  • Encapsulamento: se for preciso alterar o encapsulamento de uma interface (ex.: de Ethernet para PPP), desative a captura e renomeie o arquivo atual antes da mudança, evitando arquivos corrompidos que ferramentas externas não conseguirão ler.
  • Exclusão de arquivos: deletar os arquivos manualmente em /var/tmp é apenas uma solução temporária; eles serão recriados na próxima rotação ou alteração de configuração, a menos que a captura seja desativada no modo de configuração.
  • Incompatibilidade: não é possível habilitar a captura de pacotes e a amostragem de tráfego (traffic sampling) simultaneamente no mesmo dispositivo.

 

Dominar essas técnicas transforma o roteador Juniper de uma “caixa-preta” em um ambiente transparente, permitindo diagnósticos precisos e uma gestão de rede muito mais eficiente.

 

Por Jeffersson Gondek 

 

Perguntas Frequentes (FAQ)

Quais os três métodos de captura de pacotes no Junos OS?

Captura via modo de configuração (análise detalhada com pacote completo em .pcap), captura via modo operacional (exclusiva SRX alta performance, rápida e sem alterar config permanente) e monitor traffic (visualização rápida de cabeçalhos em tempo real no terminal).

Qual a diferença entre captura por configuração e por modo operacional?

Captura por configuração entra na config permanente, captura pacote completo incluindo Layer 2 e gera arquivo .pcap transferível. Modo operacional (apenas SRX4600/SRX5000) é temporário, menor impacto no sistema e ideal para troubleshooting rápido sem persistir configuração.

Para que serve o filtro de firewall na captura de pacotes Juniper?

Filtro seleciona apenas tráfego de interesse por amostragem, evitando sobrecarga no processamento do roteador. Sem filtro adequado, capturar todo tráfego pode degradar performance; ação then sample accept é obrigatória para enviar pacotes ao buffer.

O que significa a ação “then sample accept” no filtro?

É a ação que efetivamente envia pacotes para o buffer de captura através de amostragem. Sem essa ação específica no termo do filtro, o tráfego passa pela interface normalmente mas não é capturado, tornando a configuração inútil.

Como capturar tráfego gerado pelo próprio Routing Engine (BGP, OSPF, ARP)?

Tráfego do RE geralmente ignora módulo de fluxo padrão, então é obrigatório aplicar filtro na direção de saída (output) da interface. Aplicar apenas em input não captura protocolos de roteamento e processos originados no próprio equipamento.

Quando usar “monitor traffic” ao invés de captura completa?

Use monitor traffic para verificação rápida se pacote está chegando, visualizando cabeçalhos instantaneamente no terminal sem gerar arquivo. Ideal para troubleshooting inicial; sempre use opções matching ou count para limitar saída e evitar degradação de performance.

Por que desativar a captura antes de transferir os arquivos?

Desativar com set packet-capture disable força flush do buffer interno, gravando todos dados em disco antes da transferência via FTP/SCP. Transferir com captura ativa pode resultar em arquivo incompleto ou corrompido que Wireshark não consegue ler.

Quais as principais limitações da captura de pacotes no Junos?

Não é possível habilitar packet capture e traffic sampling simultaneamente no mesmo dispositivo. Alterar encapsulamento de interface com captura ativa corrompe arquivo; sempre desative, renomeie arquivo atual e depois faça mudança de encapsulamento.

FALE COM UM ESPECIALISTA DA SAGE

COMPARTILHE

Você também pode gostar

Ilustração de fluxo de rede mostrando integração entre SOC, Anti DDoS e BGP bloqueando tráfego malicioso antes de atingir servidores

Como SOC Anti DDoS e BGP atuam contra ataques complexos

Lee el artículo

Monitoramento Anti-DDoS: A Base da Defesa da sua Empresa

Lee el artículo
Pessoa digitando em um laptop com tela mostrando código verde, representando o que é DDoS e ataques cibernéticos.

O que é DDoS? Entenda como funciona e como esse ataque afeta sistemas

Lee el artículo

TIRE SUAS DÚVIDAS NO WHATSAPP

Preencha seu nome, empresa, telefone e segmento para falar agora mesmo com um de nossos consultores.