Я ищу решение для полного захвата пакетов на сервере Ubuntu. Наша максимальная пропускная способность составляет <60 Мбит / с, а на сервере установлено 10 КБ жестких дисков.
В идеале я хотел бы иметь возможность записывать все прямо в файл pcap, который ежедневно превращается в новый файл. Возможность удалять файлы pcap, которые превысили заданный период времени или пороговое значение пространства (т. Е. Старше 30 дней или превышающие 90% от максимального объема хранилища), также была бы невероятно выгодной.
Я заглянул в OpenFPC, но разработка, похоже, полностью остановилась. За более чем 2 года не было выпущено ни одного нового издания; в противном случае это вполне соответствовало бы всем требованиям.
SANS есть подробное руководство о том, как настроить tcpdump для этого, но система на самом деле не позволяет удалить старые файлы.
Какое решение для запуска полного захвата пакетов на сервере Linux является наилучшим в корпоративной сети?
Возможно, вы захотите использовать для этого tshark вместо tcpdump. Tshark использует тот же формат pcap, но имеет гораздо лучшие возможности для непрерывного ведения журнала.
Один из вариантов - tshark кольцевой буферный режим.
-b Заставить TShark работать в режиме «несколько файлов». В режиме «несколько файлов» TShark записывает в несколько файлов захвата. Когда заполнится первый файл захвата, TShark переключит запись на следующий файл и так далее.
Создаваемые имена файлов основаны на имени файла, заданном с параметром -w, номере файла и дате и времени создания, например Outfile_00001_20050604120117.pcap, outfile_00002_20050604120523.pcap, ...
Я считаю tcpdump можно сделать это, используя -W -C -G параметры. Видеть страница руководства для подробностей.
-W
При использовании вместе с параметром -C это ограничивает количество создаваемых файлов указанным числом и начинает перезапись файлов с самого начала, создавая таким образом «вращающийся» буфер. Кроме того, он будет называть файлы с достаточным количеством ведущих нулей для поддержки максимального количества файлов, что позволяет им правильно сортировать. Используется вместе с параметром -G, это ограничивает количество создаваемых повернутых файлов дампа, выходя со статусом 0 при достижении предела. Если также используется с -C, это приведет к циклическому отображению файлов в интервале времени.