有没有办法可以将我路由器上的所有传入和传出的流量以 pcap 的形式捕获到我的 Linux 机器上并实现自动化?
编辑:这是一个我们试图检测网络威胁的项目。
答案1
对于像中小型企业这样的地方,我会将路由器的一个端口配置为镜子所有流量(即,通过任何其他端口进入的所有流量都会复制到此端口),然后将专用捕获计算机连接到此端口并将所有内容存储到本地硬盘。这可以很简单,例如tcpdump -C ...
当超过某个文件大小时切换到下一个捕获文件,也可以根据您的意愿更复杂。
您应该考虑要保留数据多长时间,以及清理自动化。
专业路由器通常具有内置镜像功能;对于中小型企业来说,家庭网络类型的路由器可能足够用,可以使用 OpenWRT 等开放固件重新刷新,并且您可以使用现成的包iptables
或者直接用etc配置路由器上运行的Linux内核。
还请考虑法律方面:在文明国家,您需要告知员工此类监视,而在更加文明的国家,则完全不允许这样做。
答案2
这取决于你的目标是什么。
TCPdump 和 wireshark 是两种最常用的数据包捕获工具
“pcap” 是一个数据包捕获 API,而不是文件格式,但通常与 wireshark 转储相关联。