Para administradores de rede e engenheiros de segurança que operam equipamentos Juniper, a visibilidade do tráfego é a pedra angular da resolução de problemas e da segurança cibernética. Seja para identificar padrões de invasão, como ping scans, ou para solucionar falhas complexas de conectividade, a captura de pacotes no Junos OS é uma ferramenta indispensável, pois permite coletar dados em tempo real diretamente das interfaces físicas e lógicas.
Os três caminhos da análise de tráfego
Diferentemente de sistemas operacionais mais rígidos, o Junos oferece três abordagens principais, dependendo da profundidade necessária e do modelo do equipamento:
- Captura via modo de configuração: ideal para análises detalhadas, capturando o pacote inteiro (incluindo o cabeçalho de Camada 2) no formato .pcap.
- Captura via modo operacional: exclusiva para modelos SRX de alta performance (como SRX4600 e série SRX5000), permitindo capturas rápidas, com impacto mínimo ao sistema e sem alterar a configuração permanente.
- Monitor traffic: ferramenta operacional para visualização rápida de cabeçalhos em tempo real diretamente no terminal.
Implementação prática via CLI
Para realizar uma captura completa que possa ser analisada posteriormente no Wireshark, seguimos um fluxo lógico de configuração:
1. Definição dos parâmetros do arquivo
Primeiro, determinamos como o sistema deve gerenciar os dados. No nível de hierarquia [edit forwarding-options packet-capture], definimos o tamanho máximo do pacote (até 1500 bytes), o nome do arquivo, a rotação (número de arquivos) e o tamanho de cada arquivo. É recomendável usar a opção world-readable caso usuários sem privilégios de root precisem acessar os dados.
2. O Papel do Filtro de Firewall
A captura de pacotes funciona por amostragem. Para evitar sobrecarga no processamento do roteador, criamos um filtro de firewall que seleciona apenas o tráfego de interesse. O termo crucial aqui é then sample accept. Sem essa ação de amostragem, o tráfego passará pela interface, mas não será enviado para o buffer de captura.
3. Aplicação na Interface
O filtro deve ser aplicado na interface desejada nas direções input, output ou em ambas.
Um detalhe técnico vital: o tráfego gerado pelo Routing Engine (RE), como protocolos de roteamento (OSPF, BGP) e ARP, costuma ignorar o módulo de fluxo. Para capturar esses pacotes específicos, é obrigatório aplicar o filtro na direção de saída (output) da interface.
Monitoramento em tempo real: monitor traffic
Quando a necessidade é apenas verificar se um pacote está chegando, o comando monitor traffic é a escolha ideal. Ele exibe os cabeçalhos dos pacotes instantaneamente.
Contudo, deve-se usar opções como matching ou count para limitar a saída e evitar a degradação do desempenho do sistema. Por exemplo, para monitorar apenas o tráfego ARP, utiliza-se: monitor traffic interface [nome] matching “arp”.
Regras de ouro e limitações
Para garantir o sucesso da operação e a integridade do hardware, considere as seguintes diretrizes:
- Desativação obrigatória: antes de transferir os arquivos de /var/tmp via FTP ou SCP, é necessário desativar a captura (set packet-capture disable). Isso garante que o buffer interno seja “lavado” (flushed) e que todos os dados sejam gravados em disco.
- Encapsulamento: se for preciso alterar o encapsulamento de uma interface (ex.: de Ethernet para PPP), desative a captura e renomeie o arquivo atual antes da mudança, evitando arquivos corrompidos que ferramentas externas não conseguirão ler.
- Exclusão de arquivos: deletar os arquivos manualmente em /var/tmp é apenas uma solução temporária; eles serão recriados na próxima rotação ou alteração de configuração, a menos que a captura seja desativada no modo de configuração.
- Incompatibilidade: não é possível habilitar a captura de pacotes e a amostragem de tráfego (traffic sampling) simultaneamente no mesmo dispositivo.
Dominar essas técnicas transforma o roteador Juniper de uma “caixa-preta” em um ambiente transparente, permitindo diagnósticos precisos e uma gestão de rede muito mais eficiente.
Por Jeffersson Gondek
