Tentang cara menghapus NetFlow dari Mikrotik sambil menjaga lalu lintas di server di Internet tidak sulit ditemukan. Tapi itu perlu untuk menyelamatkan isi lalu lintas, tetapi di sini ada kesulitan kecil.
Pada prinsipnya, tentang mode sniffer itu sendiri, semuanya sangat mudah diakses dijelaskan pada wiki Mikrotik , kesulitan muncul dengan mempertahankan lalu lintas ke server eksternal.
Faktanya adalah bahwa Mikrotik siap untuk mengirim paket yang diambil ke server, tetapi merangkumnya dalam Tazmen Sniffer Protocol (TZSP) . Tetapi bagaimana cara mengekstraknya untuk bekerja, katakanlah, dengan tcpdump yang sama, ini adalah tugas. Googling menunjukkan bahwa Wireshark memahami protokol ini di luar kebiasaan, tetapi Google mengatakan bahwa Wireshark tidak menyimpan data yang diterima ke file. Dan itu sangat perlu.
Di Internet, disebutkan dibuat program trafr - program asli dari Mikrotik. Dilihat dari deskripsi, dia memecahkan masalah. Satu minus, itu ditulis kembali pada tahun 2004. Dan dia 32-bit. Inilah yang saya lihat ketika saya mencoba meluncurkannya:
mike@monitoring:~$]./trafr -bash: ./trafr: No such file or directory mike@monitoring:~$]file trafr trafr: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.2.0, stripped
Masalah ini diselesaikan dengan dua cara. Pertama: pilih server terpisah dan berikan OS 32-bit. Kedua, aktifkan dukungan untuk aplikasi ini. Misalnya, untuk ubuntu:
apt-get update apt-get install libc6:i386 libncurses5:i386 libstdc++6:i386 apt-get install multiarch-support
Kemudian kami menyimpan / memfilter / memproses lalu lintas yang diterima sesuai kebutuhan:
./trafr -s | /usr/sbin/tcpdump -r - -n "(port 22 or 23 or 135 or 137 or 138 or 139 or 389 or 445)" -w test.pcap
Dan contoh dimasukkannya sniffer di Mikrotik:
/tool sniffer set streaming-enabled=yes streaming-server=192.168.0.23 interface=WAN /tool sniffer start
Saya harap ini akan mengurangi waktu bagi seseorang yang mencari dan bereksperimen.
UPD mais_es menyarankan bahwa ada juga utilitas tzsp2pcap , yang sebenarnya melakukan hal yang sama dengan trafr .