¿Hay alguna manera de capturar todo el tráfico entrante y saliente de mi enrutador como pcap a mi máquina Linux y automatizarlo?
editar: Es para un proyecto en el que intentamos detectar amenazas a la red.
Respuesta1
Para algo así como una pequeña y mediana empresa, configuraría un puerto del enrutador paraespejotodo el tráfico (es decir, todo el tráfico que ingresa a través de cualquier otro puerto se copia a este puerto), luego conecte la computadora de captura dedicada a este puerto y almacene todo en el disco duro local. Esto puede ser tan simple como tcpdump -C ...cambiar al siguiente archivo de captura cuando se excede un cierto tamaño de archivo, o más complejo según sus deseos.
Debe pensar en cuánto tiempo desea conservar los datos y en la automatización de la limpieza.
Los enrutadores profesionales suelen venir con capacidades de espejo integradas; un enrutador de tipo red doméstica que puede ser suficiente para una pequeña y mediana empresa se puede actualizar con firmware abierto como OpenWRT, y puede usarpaquetes listos para usaro configurar el kernel de Linux que se ejecuta en el enrutador directamente con iptablesetc.
Tenga en cuenta también los aspectos legales: en los países civilizados se le pedirá que informe a los empleados sobre este tipo de vigilancia, en países aún más civilizados no estará permitido en absoluto.
Respuesta2
Esto depende de cuál sea tu objetivo.
TCPdump y Wireshark son dos de las herramientas más utilizadas para la captura de paquetes.
"pcap" es una API de captura de paquetes en lugar de un formato de archivo, pero normalmente se asocia con volcados de Wireshark.