¿cómo caputre continuamente todo el tráfico de mi red? [cerrado]

1

Tengo un escritorio de Linux que será una puerta de enlace entre mi red privada y la Internet abierta. Me gustaría que capturara y almacenara todo el tráfico de la red que pasa a través de él continuamente, 24/7 (hasta que el disco duro se llene;). Pero tiene que ser más sofisticado, que solo un gran volcado de paquetes:

1) Me gustaría tener alguna capacidad de lista blanca para no almacenar selectivamente tipos específicos de tráfico (por ejemplo, videos de YouTube, descargas de BitTorrent). Eso probablemente significa crear reglas basadas en protocolos, IP / dominios, encabezado / palabras clave de contenido , DPI tal vez?

2) Guárdelo de una manera que permita consultar fácilmente los datos capturados. Recuerde: esto se volverá bastante grande con el uso normal de la web. Así que mi conjetura es, tal vez alguna base de datos rápida y plana, como Redis?

Soy relativamente nuevo en Linux. Tengo un conocimiento rudimentario de cosas como iptables y me enteré de tcpdump / libpcap, pero parece demasiado básico (ver dos puntos arriba).

¿Cómo hago para solucionar esto?

...

(Esta es una pregunta aparte, pero también recibo sugerencias sobre cómo consultar todos estos datos. Necesito algo de alto nivel, como "Dame todos los archivos descargados por ese dispositivo / IP hoy", y no solo un La gran lista de paquetes estilo Wireshark, que puede ser buena para diagnósticos, pero no para la búsqueda y recuperación de contenido eficiente.)

    
pregunta user36425 28.12.2013 - 16:06
fuente

1 respuesta

1

Esta publicación del blog se refiere a hacer una captura continua con < a href="http://www.wireshark.org/"> Wireshark - específicamente, con la utilidad dumpcap que viene con Wireshark. La utilidad admite algunas expresiones de filtro, en función del puerto, la dirección IP, el protocolo ...

Para una capacidad de búsqueda y filtrado más extensa, algunas búsquedas en Google revelan la existencia de n2disk , que no es gratis (en ningún sentido del término), pero puede valer la pena (no lo he probado). Además, n2disk se basa en nDPI , que es gratuito (GPL); es una biblioteca, por lo que potencialmente podría usarla para escribir su propia aplicación de "registro de captura". También eche un vistazo a nProbe , que también es GPL (pero con una tarifa, esto resalta la diferencia entre los dos nociones de "libre"), y que podrían ajustarse a su factura.

    
respondido por el Tom Leek 28.12.2013 - 16:31
fuente

Lea otras preguntas en las etiquetas