Il n'est pas difficile de trouver comment supprimer NetFlow de Mikrotik tout en maintenant le trafic sur un serveur sur Internet. Mais il était nécessaire de sauvegarder le contenu du trafic, mais ici il y avait des difficultés mineures.
En principe, sur le mode renifleur lui-même, tout est très accessible décrit sur le wiki Mikrotik , des difficultés sont apparues avec le maintien du trafic vers un serveur externe.
Le fait est que Mikrotik est prêt à envoyer les paquets capturés au serveur, mais les encapsule dans le protocole Tazmen Sniffer (TZSP) . Mais comment alors les extraire pour le travail, disons, avec le même tcpdump, c'est la tâche. La recherche sur Google a montré que Wireshark comprend ce protocole hors de la boîte, mais Google a déclaré que Wireshark n'enregistre pas les données reçues dans un fichier. Et c'était très nécessaire.
Sur Internet, il a été fait mention du programme trafr - un programme natif de Mikrotik. A en juger par la description, elle résout le problème. Un inconvénient, il a été écrit en 2004. Et elle est 32 bits. Voici ce que j'ai vu lorsque j'ai essayé de le lancer:
mike@monitoring:~$]./trafr -bash: ./trafr: No such file or directory mike@monitoring:~$]file trafr trafr: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.2.0, stripped
Ce problème est résolu de deux manières. Tout d'abord: sélectionnez un serveur distinct et mettez-y un système d'exploitation 32 bits. Deuxièmement, activez la prise en charge de ces applications. Par exemple, pour ubuntu:
apt-get update apt-get install libc6:i386 libncurses5:i386 libstdc++6:i386 apt-get install multiarch-support
Ensuite, nous enregistrons / filtrons / traitons le trafic reçu selon nos besoins:
./trafr -s | /usr/sbin/tcpdump -r - -n "(port 22 or 23 or 135 or 137 or 138 or 139 or 389 or 445)" -w test.pcap
Et un exemple de l'inclusion d'un renifleur sur Mikrotik:
/tool sniffer set streaming-enabled=yes streaming-server=192.168.0.23 interface=WAN /tool sniffer start
J'espère que cela réduira le temps pour quelqu'un qui recherche et expérimente.
UPD mais_es a suggéré qu'il existe également l'utilitaire tzsp2pcap , qui fait en fait la même chose que trafr .