背景 我在工作中有一个网络 IPS 设备。配置没有很好的记录,我想弄清楚哪些流量已配置为通过哪些接口流动。网络是分段的,即 802.1q vlan
IPS 允许捕获 100 MB 的流量然后停止。NIPS 支持大多数 tcpdump 命令,但不是全部。
主意 捕获每个接口上的流量,并根据 VLAN ID 跟踪哪些流量正在流经该接口。由于我的限制是 100 MB,我只想捕获包括 VLAN 标签在内的以太网报头。我不想要有效载荷,因为它太快地填满了 100MB 的限制。
我需要的 tcpdump 表达式仅捕获前 16 个字节,即目标 mac、源 mac 和 802.1q 标头。
然后我将使用 wireshark 或类似程序来读取 100MB 捕获并计算出流经链接的流量。
弱点 我知道我为这项工作(识别流量)使用了错误的工具(tcpdump)。最好使用 netflow 或 zeek 来识别流量,但我没有其他可用工具。话虽如此,我愿意听取意见。
我会回复进度 - 不管是否有效。谢谢阅读。J