Acerca de c贸mo eliminar NetFlow de Mikrotik mientras se mantiene el tr谩fico en un servidor en Internet no es dif铆cil de encontrar. Pero era necesario guardar el contenido del tr谩fico, pero aqu铆 hab铆a dificultades menores.
En principio, sobre el modo sniffer en s铆, todo est谩 muy accesible descrito en el wiki de Mikrotik , surgieron dificultades para mantener el tr谩fico a un servidor externo.
El hecho es que Mikrotik est谩 listo para enviar los paquetes capturados al servidor, pero encapsul谩ndolos en el Protocolo Tazmen Sniffer (TZSP) . Pero c贸mo extraerlos para el trabajo, digamos, con el mismo tcpdump, esta es la tarea. Google mostr贸 que Wireshark entiende este protocolo de forma inmediata, pero Google dijo que Wireshark no guarda los datos recibidos en un archivo. Y fue muy necesario.
En Internet, se mencion贸 el programa trafr , un programa nativo de Mikrotik. A juzgar por la descripci贸n, ella resuelve el problema. Uno menos, fue escrito en 2004. Y ella es de 32 bits. Esto es lo que vi cuando intent茅 lanzarlo:
mike@monitoring:~$]./trafr -bash: ./trafr: No such file or directory mike@monitoring:~$]file trafr trafr: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.2.0, stripped
Este problema se resuelve de dos maneras. Primero: seleccione un servidor separado y ponga un SO de 32 bits. En segundo lugar, habilite el soporte para estas aplicaciones. Por ejemplo, para ubuntu:
apt-get update apt-get install libc6:i386 libncurses5:i386 libstdc++6:i386 apt-get install multiarch-support
Luego guardamos / filtramos / procesamos el tr谩fico recibido como necesitamos:
./trafr -s | /usr/sbin/tcpdump -r - -n "(port 22 or 23 or 135 or 137 or 138 or 139 or 389 or 445)" -w test.pcap
Y un ejemplo de la inclusi贸n de un sniffer en Mikrotik:
/tool sniffer set streaming-enabled=yes streaming-server=192.168.0.23 interface=WAN /tool sniffer start
Espero que esto reduzca el tiempo para que alguien busque y experimente.
UPD mais_es sugiri贸 que tambi茅n existe la utilidad tzsp2pcap , que en realidad hace lo mismo que trafr .