Es ist nicht schwer zu finden, wie NetFlow aus Mikrotik entfernt werden kann, während der Datenverkehr auf einem Server im Internet aufrechterhalten wird. Es war zwar notwendig, den Inhalt des Verkehrs zu speichern, aber hier gab es kleinere Schwierigkeiten.
Im Prinzip ist über den Sniffer- Modus selbst alles sehr gut zugänglich, was im Mikrotik-Wiki beschrieben wird. Es traten Schwierigkeiten bei der Aufrechterhaltung des Datenverkehrs zu einem externen Server auf.
Tatsache ist, dass Mikrotik bereit ist, die erfassten Pakete an den Server zu senden, sie jedoch im Tazmen Sniffer Protocol (TZSP) zu kapseln . Aber wie man sie dann für die Arbeit extrahiert, zum Beispiel mit demselben tcpdump, ist dies die Aufgabe. Googeln hat gezeigt, dass Wireshark dieses Protokoll sofort versteht, aber Google sagte, dass Wireshark die empfangenen Daten nicht in einer Datei speichert. Und es war sehr notwendig.
Im Internet wurde das Programm trafr erwähnt - ein natives Programm von Mikrotik. Nach der Beschreibung zu urteilen, löst sie das Problem. Ein Minus, es wurde im Jahr 2004 geschrieben. Und sie ist 32-Bit. Folgendes habe ich gesehen, als ich versucht habe, es zu starten:
mike@monitoring:~$]./trafr -bash: ./trafr: No such file or directory mike@monitoring:~$]file trafr trafr: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.2.0, stripped
Dieses Problem wird auf zwei Arten gelöst. Erstens: Wählen Sie einen separaten Server aus und installieren Sie ein 32-Bit-Betriebssystem. Aktivieren Sie zweitens die Unterstützung für diese Anwendungen. Zum Beispiel für Ubuntu:
apt-get update apt-get install libc6:i386 libncurses5:i386 libstdc++6:i386 apt-get install multiarch-support
Dann speichern / filtern / verarbeiten wir den empfangenen Verkehr nach Bedarf:
./trafr -s | /usr/sbin/tcpdump -r - -n "(port 22 or 23 or 135 or 137 or 138 or 139 or 389 or 445)" -w test.pcap
Und ein Beispiel für die Aufnahme eines Schnüfflers in Mikrotik:
/tool sniffer set streaming-enabled=yes streaming-server=192.168.0.23 interface=WAN /tool sniffer start
Ich hoffe, dass dies die Zeit für jemanden verkürzt, der sucht und experimentiert.
UPD mais_es schlug vor, dass es auch das Dienstprogramm tzsp2pcap gibt , das tatsächlich dasselbe tut wie trafr .