关于如何在维护Internet上服务器流量的同时从Mikrotik中删除NetFlow并不难。 但是有必要保存流量的内容,但是这里存在一些小困难。
原则上,关于嗅探器模式本身, Mikrotik Wiki上描述的所有内容都非常易于访问,在维护到外部服务器的流量方面出现了困难。
事实是Mikrotik准备将捕获的数据包发送到服务器,但将其封装在Tazmen Sniffer协议(TZSP)中 。 但是,然后如何使用相同的tcpdump提取它们进行工作,这就是任务。 Googling显示Wireshark可以立即使用该协议,但是Google表示Wireshark不会将接收到的数据保存到文件中。 这是非常必要的。
在Internet上,提到了trafr程序-Mikrotik的本机程序。 从描述来看,她解决了这个问题。 减一,写于2004年。 她是32位的。 这是我尝试启动它时看到的内容:
mike@monitoring:~$]./trafr -bash: ./trafr: No such file or directory mike@monitoring:~$]file trafr trafr: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.2.0, stripped
这个问题有两种解决方法。 首先:选择一个单独的服务器并在其上安装32位OS。 其次,启用对这些应用程序的支持。 例如,对于ubuntu:
apt-get update apt-get install libc6:i386 libncurses5:i386 libstdc++6:i386 apt-get install multiarch-support
然后,我们根据需要保存/过滤/处理收到的流量:
./trafr -s | /usr/sbin/tcpdump -r - -n "(port 22 or 23 or 135 or 137 or 138 or 139 or 389 or 445)" -w test.pcap
还有一个在Mikrotik上包含嗅探器的示例:
/tool sniffer set streaming-enabled=yes streaming-server=192.168.0.23 interface=WAN /tool sniffer start
我希望这会减少搜索和试验人员的时间。
UPD mais_es建议还提供tzsp2pcap实用程序,该实用程序实际上与trafr相同。