Existe uma maneira de capturar todo o tráfego de entrada e saída do meu roteador como um pcap para minha máquina Linux e automatizá-lo?
editar: É para um projeto em que estamos tentando detectar ameaças à rede.
Responder1
Para algo como uma pequena e média empresa, eu configuraria uma porta do roteador paraespelhotodo o tráfego (ou seja, todo o tráfego que entra por qualquer outra porta é copiado para esta porta), então conecte o computador de captura dedicado a esta porta e armazene tudo no disco rígido local. Isso pode ser tão simples quanto tcpdump -C ...mudar para o próximo arquivo de captura quando um determinado tamanho de arquivo for excedido, ou mais complexo de acordo com sua preferência.
Você deve pensar em quanto tempo deseja reter os dados e na automação da limpeza.
Os roteadores profissionais geralmente vêm com recursos de espelho integrados; um roteador do tipo rede doméstica que pode ser suficiente para uma pequena e média empresa pode ser atualizado com firmware aberto como OpenWRT, e você pode usarpacotes prontosou configure o kernel Linux em execução no roteador diretamente com iptablesetc.
Por favor, considere também os aspectos legais: Em países civilizados você será obrigado a informar os funcionários sobre este tipo de vigilância, em países ainda mais civilizados isso não será permitido de forma alguma.
Responder2
Isso depende de qual é o seu objetivo.
TCPdump e wireshark são duas das ferramentas mais utilizadas para captura de pacotes
"pcap" é uma API de captura de pacotes em vez de um formato de arquivo, mas normalmente associado a dumps wireshark.