Gibt es eine Möglichkeit, den gesamten ein- und ausgehenden Datenverkehr meines Routers als PCAP auf meinem Linux-Rechner aufzuzeichnen und zu automatisieren?
Bearbeiten: Es ist für ein Projekt, bei dem wir versuchen, Bedrohungen für das Netzwerk zu erkennen.
Antwort1
Für ein kleines oder mittleres Unternehmen würde ich einen Port des Routers so konfigurieren,SpiegelDer gesamte Datenverkehr (d. h. der gesamte Datenverkehr, der über einen anderen Port eingeht, wird auf diesen Port kopiert), dann schließen Sie den dedizierten Erfassungscomputer an diesen Port an und speichern Sie alles auf der lokalen Festplatte. Dies kann so einfach sein wie tcpdump -C ...das Umschalten zur nächsten Erfassungsdatei, wenn eine bestimmte Dateigröße überschritten wird, oder komplexer, je nach Ihren Wünschen.
Sie sollten darüber nachdenken, wie lange Sie die Daten aufbewahren möchten, und über die Automatisierung der Bereinigung.
Professionelle Router verfügen oft über integrierte Spiegelfunktionen. Ein Heimnetzwerk-Router, der für ein kleines oder mittleres Unternehmen ausreichen kann, kann mit offener Firmware wie OpenWRT neu geflasht werden. Außerdem können SieFertigpaketeoder konfigurieren Sie den auf dem Router laufenden Linux-Kernel direkt mit iptablesusw.
Bedenken Sie auch die rechtlichen Aspekte: In zivilisierten Ländern sind Sie verpflichtet, Ihre Mitarbeiter über diese Art der Überwachung zu informieren, in noch zivilisierteren Ländern ist dies überhaupt nicht gestattet.
Antwort2
Dies hängt davon ab, was Ihr Ziel ist.
TCPdump und Wireshark sind zwei der am häufigsten diskutierten Tools zur Paketerfassung
„pcap“ ist eher eine API zur Paketerfassung als ein Dateiformat, wird aber normalerweise mit Wireshark-Dumps in Verbindung gebracht.