ルーターからのすべての受信トラフィックと送信トラフィックを Linux マシンへの pcap としてキャプチャし、自動化する方法はありますか?
編集: これは、ネットワークへの脅威を検出しようとしているプロジェクト用です。
答え1
中小企業のような場合は、ルーターの1つのポートを次のように設定します。鏡すべてのトラフィック (つまり、他のポートから入ってくるすべてのトラフィックがこのポートにコピーされます) をキャプチャし、専用のキャプチャ コンピュータをこのポートに接続して、すべてをローカル ハードディスクに保存します。これは、tcpdump -C ...特定のファイル サイズを超えたときに次のキャプチャ ファイルに切り替えるだけの単純なものから、必要に応じてより複雑なものにすることができます。
データをどのくらいの期間保持するか、およびクリーンアップの自動化について検討する必要があります。
業務用ルーターにはミラー機能が組み込まれていることが多い。中小企業には十分なホームネットワークタイプのルーターは、OpenWRTのようなオープンファームウェアで再フラッシュすることができ、既製のパッケージまたは、ルーター上で実行されている Linux カーネルをiptablesetcで直接構成します。
法的側面も考慮してください。文明国では、この種の監視について従業員に通知することが義務付けられますが、さらに文明国では、そのような監視はまったく許可されません。
答え2
これはあなたの目標が何であるかによって異なります。
TCPdumpとWiresharkは、パケットキャプチャで最もよく使われる2つのツールです。
「pcap」はファイル形式ではなくパケット キャプチャ API ですが、通常は Wireshark ダンプと関連付けられます。