Назад | Перейти на главную страницу

Утилита PCAP в Syslog

Я ищу инструмент, который обнюхивает весь трафик на интерфейсе и создает системный журнал, такой как журнал Cisco, в режиме реального времени. Пример :

Feb 16 10:19:05 tcp S.S.S.S(6083) -> D.D.D.D(80), 1 packet
Feb 16 10:19:07 tcp S.S.S.S(80) -> D.D.D.D(4662), 1  packet
Feb 16 10:19:11 igmp S.S.S.S -> 224.0.0.1, 1 packet
Feb 16 10:19:13 udp S.S.S.S(53) -> D.D.D.D(13341), 1 packet
Feb 16 10:19:13 icmpv6 FE80::660:2408:2:2 -> FF02::1 (134/0), 2 packets

В примере S.S.S.S - это IP-адрес источника, D.D.D.D - IP-адрес назначения.

Я пытаюсь использовать tshark, но не могу реализовать все возможности с фильтрами, потому что иногда есть порты (для TCP или UDP), а иногда нет. Было бы здорово, если бы у нас были и адреса L2.

У тебя в коробке есть такой инструмент? Он должен работать в Debian Linux. Это будет демон, который перехватит весь трафик в текст.

Спасибо !

Вы могли бы использовать iplog но похоже, что он очень старый (не обновлялся с 2001 года, согласно этой веб-странице).

Также есть возможность использовать для этого брандмауэр хоста; просто создайте "нулевое" правило, которое соответствует каждому пакету и имеет цель LOG; вы можете использовать инструменты графического интерфейса или iptables команда для этого.