라우터에서 Linux 시스템으로 들어오고 나가는 모든 트래픽을 PCAP로 캡처하고 자동화할 수 있는 방법이 있습니까?
편집: 네트워크에 대한 위협을 탐지하려는 프로젝트용입니다.
답변1
중소기업과 같은 경우에는 라우터의 한 포트를 다음과 같이 구성합니다.거울모든 트래픽(즉, 다른 포트를 통해 들어오는 모든 트래픽이 이 포트로 복사됨)을 수행한 다음 전용 캡처 컴퓨터를 이 포트에 연결하고 모든 것을 로컬 하드 디스크에 저장합니다. 특정 파일 크기가 초과되면 다음 캡처 파일로 전환하는 것처럼 간단할 수도 있고 tcpdump -C ...원하는 대로 더 복잡할 수도 있습니다.
데이터를 얼마나 오래 보관할지, 정리 자동화를 고려해야 합니다.
전문 라우터에는 미러 기능이 내장되어 있는 경우가 많습니다. 중소기업에 충분할 수 있는 홈 네트워크형 라우터를 OpenWRT와 같은 개방형 펌웨어로 다시 플래시할 수 있으며,기성품 패키지또는 라우터에서 실행되는 Linux 커널을 직접 구성하는 iptables등의 작업을 수행합니다.
법적 측면도 고려하십시오. 문명 국가에서는 이러한 종류의 감시에 대해 직원에게 알려야 하지만 훨씬 더 문명화된 국가에서는 전혀 허용되지 않습니다.
답변2
이는 귀하의 목표가 무엇인지에 따라 다릅니다.
TCPdump와 Wireshark는 패킷 캡처를 위한 가장 까다로운 도구 중 2개입니다.
"pcap"은 파일 형식이 아닌 패킷 캡처 API이지만 일반적으로 Wireshark 덤프와 연결됩니다.