Есть ли способ захватить весь входящий и исходящий трафик с моего маршрутизатора в виде pcap-файла на моей машине Linux и автоматизировать этот процесс?
правка: Это для проекта, в котором мы пытаемся обнаружить угрозы для сети.
решение1
Для малого и среднего предприятия я бы настроил один порт маршрутизатора назеркаловесь трафик (то есть весь трафик, входящий через любой другой порт, копируется на этот порт), затем подключаем выделенный компьютер захвата к этому порту и сохраняем все на локальном жестком диске. Это может быть так же просто, как tcpdump -C ...переключение на следующий файл захвата при превышении определенного размера файла, или более сложно в соответствии с вашими пожеланиями.
Вам следует подумать о том, как долго вы хотите хранить данные, и об автоматизации очистки.
Профессиональные маршрутизаторы часто поставляются со встроенными функциями зеркалирования; маршрутизатор домашнего сетевого типа, который может быть достаточным для малого и среднего предприятия, можно перепрошить с помощью открытой прошивки, например OpenWRT, и вы можете использоватьготовые пакетыили настроить ядро Linux, работающее на маршрутизаторе, напрямую с помощью iptablesи т. д.
Пожалуйста, также примите во внимание правовые аспекты: в цивилизованных странах вы будете обязаны информировать сотрудников о таком виде наблюдения, в еще более цивилизованных странах это вообще не будет разрешено.
решение2
Это зависит от вашей цели.
TCPdump и Wireshark — два самых распространенных инструмента для захвата пакетов.
«pcap» — это API захвата пакетов, а не формат файла, но обычно он ассоциируется с дампами Wireshark.