有沒有一種方法可以捕獲從我的路由器傳入和傳出的所有流量作為 pcap 到我的 Linux 機器並使其自動化?
編輯:這是一個我們試圖偵測網路威脅的專案。
答案1
對於像中小型企業這樣的企業,我會將路由器的一個連接埠配置為鏡子所有流量(即透過任何其他連接埠進入的所有流量都會複製到此連接埠),然後將專用擷取電腦連接到此連接埠並將所有內容儲存到本機硬碟。這可以像tcpdump -C ...超過特定檔案大小時切換到下一個擷取檔案一樣簡單,也可以根據您的意願更複雜。
您應該考慮要保留資料多長時間以及清理自動化。
專業路由器通常內建鏡像功能;對於中小型企業來說可能足夠的家庭網路類型路由器可以使用 OpenWRT 等開放韌體進行刷新,並且您可以使用現成的包iptables或是直接使用etc設定路由器上執行的Linux核心。
也請考慮法律方面的問題:在文明國家,您需要將這種監視告知員工,而在更文明的國家,則根本不允許這樣做。
答案2
這取決於您的目標是什麼。
TCPdump 和wireshark 是兩個最常用的資料包擷取工具
「pcap」是一個封包擷取API,而不是一種檔案格式,但通常與wireshark 轉儲相關。