我有一个 pfSense 服务器,所有攻击都会进入其 WAN 接口。我在 pfSense 后面的私有网络上设置了另一个数据包分析工具。我想将实时 WAN 流量从 pfSense WAN 发送到后端私有服务器,该服务器在其以太网接口上监听数据包以对其进行分析。
是否可以将流量实时发送到后端服务器?这样 moloch(工具)就可以实时分析流量了吗?
答案1
您可以使用 sFlowTool 接收 sFlow 并转发到多个目的地,例如 pfSense 服务器和后端私有服务器(请参阅http://blog.sflow.com/2012/01/forwarding-using-sflowtool.html)。
您还可以使用 sFlowTool(-t 选项)导出到 pcap,参见http://blog.sflow.com/2011/11/wireshark.html