حول كيفية إزالة NetFlow من Mikrotik مع الحفاظ على حركة المرور على خادم على الإنترنت ليس من الصعب العثور عليها. ولكن كان من الضروري حفظ محتويات حركة المرور ، ولكن هنا كانت هناك صعوبات طفيفة.
من حيث المبدأ ، حول وضع الشم نفسه ، كل شيء يمكن الوصول إليه بسهولة وصفه على ويكي Mikrotik ، نشأت صعوبات في الحفاظ على حركة المرور إلى خادم خارجي.
والحقيقة هي أن Mikrotik جاهز لإرسال الحزم التي تم التقاطها إلى الخادم ، ولكن تغليفها في بروتوكول Tazmen Sniffer Protocol (TZSP) . ولكن كيف بعد ذلك لاستخراجها للعمل ، على سبيل المثال ، مع نفس tcpdump ، هذه هي المهمة. أظهر Googling أن Wireshark يفهم هذا البروتوكول من خارج الصندوق ، لكن Google قالت أن Wireshark لا يحفظ البيانات المستلمة في ملف. وكان من الضروري للغاية.
على الإنترنت ، تم ذكر برنامج trafr - برنامج أصلي من Mikrotik. إذا حكمنا من خلال الوصف ، فإنها تحل المشكلة. ناقص واحد ، تم كتابته مرة أخرى في عام 2004. وهي 32 بت. هذا ما رأيته عندما حاولت إطلاقه:
mike@monitoring:~$]./trafr -bash: ./trafr: No such file or directory mike@monitoring:~$]file trafr trafr: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.2.0, stripped
يتم حل هذه المشكلة بطريقتين. أولاً: حدد خادمًا منفصلاً وضع عليه نظام تشغيل 32 بت. ثانيًا ، تمكين الدعم لهذه التطبيقات. على سبيل المثال ، بالنسبة إلى ubuntu:
apt-get update apt-get install libc6:i386 libncurses5:i386 libstdc++6:i386 apt-get install multiarch-support
ثم نقوم بحفظ / تصفية / معالجة حركة المرور المستلمة كما نحتاج:
./trafr -s | /usr/sbin/tcpdump -r - -n "(port 22 or 23 or 135 or 137 or 138 or 139 or 389 or 445)" -w test.pcap
ومثال على إدراج الشم على Mikrotik:
/tool sniffer set streaming-enabled=yes streaming-server=192.168.0.23 interface=WAN /tool sniffer start
آمل أن يقلل ذلك من وقت البحث والتجربة.
UPD اقترح mais_es أن هناك أيضًا أداة tzsp2pcap ، التي تفعل نفس الشيء مثل trafr .