https://slinkov.ru/openforum/vsluhforumID6/2433.html Добрый день.<br>У ASA (в моем случае с какой-то из версий прошивок 9+) есть функция capture, позволяющая захватывать пакеты, проходящие через интерфейс с помощью соответствующего списка доступа. Можно ли с помощью этой функции не просто захватить пакеты по ip-адресу источника или назначения, но еще и как-то отфильтровать по содержимому информации в пакете? Другими словами, есть определенный компьютер, который в определенный момент времени посылает на конкретный dns-сервер (ip-адрес известен) запрос с целью отрезолвить один конкретный доменный адрес. Можно ли как-то с помощью capture захватить именно этот запрос, а не вообще все запросы резолвинга, направленный к этому dns-серверу?<br> https://slinkov.ru/openforum/vsluhforumID6/2433.html#2 Wed, 24 Apr 2019 04:34:56 GMT Если есть возможность, то можно сделать зеркалирование траффика на свиче и далее отфильтровать с помощью wireshark/tshark<br>https://www.wireshark.org/docs/dfref/d/dns.html<br><br>Ну а если есть доступ к хосту, то wireshark запустить прямо на нем.<br> https://slinkov.ru/openforum/vsluhforumID6/2433.html#1 Tue, 23 Apr 2019 10:03:45 GMT &gt; Добрый день.<br>&gt; У ASA (в моем случае с какой-то из версий прошивок 9+) есть <br>&gt; функция capture, позволяющая захватывать пакеты, проходящие через интерфейс с помощью <br>&gt; соответствующего списка доступа. Можно ли с помощью этой функции не просто <br>&gt; захватить пакеты по ip-адресу источника или назначения, но еще и как-то <br>&gt; отфильтровать по содержимому информации в пакете? Другими словами, есть определенный компьютер, <br>&gt; который в определенный момент времени посылает на конкретный dns-сервер (ip-адрес известен) <br>&gt; запрос с целью отрезолвить один конкретный доменный адрес. Можно ли как-то <br>&gt; с помощью capture захватить именно этот запрос, а не вообще все <br>&gt; запросы резолвинга, направленный к этому dns-серверу?<br><br>Нет. Capture работает по L3/L4 (на основе extended ACL).<br>Вы хотите L7.<br>