Захват полного пакета Linux
Я ищу встать решение полного захвата пакетов на сервере Ubuntu. Наша максимальная пропускная способность составляет < 60 Мбит / с, а на сервере установлено 10K жестких дисков.
В идеале я хотел бы иметь возможность записывать все напрямую в файл pcap, который ежедневно переворачивается в новый файл. Возможность удаления файлов pcap, которые превысили заданный период времени или пороговое пространство (т. Е. Более 30 дней или превышают 90% от максимального объема памяти), также была бы невероятно полезной.
Я изучал OpenFPC, но разработка, похоже, полностью остановилась. За последние 2 года не было выпущено ни одной новой версии. в противном случае это вполне соответствовало бы требованиям.
У SANS есть подробное руководство по настройке tcpdump для этого, но система не позволяет удалить старые файлы.
Каково наилучшее решение для запуска полного захвата пакетов на сервере Linux для корпоративной сети?
2 ответа
Возможно, вы захотите использовать для этого tshark вместо tcpdump. Tshark использует тот же формат pcap, но у него гораздо лучшие возможности для непрерывной регистрации.
Одним из вариантов является режим кольцевого буфера tshark.
-b Заставить TShark работать в режиме "несколько файлов". В режиме "несколько файлов" TShark запишет несколько файлов захвата. Когда заполнится первый файл захвата, TShark переключит запись на следующий файл и так далее.
Созданные имена файлов основаны на имени файла, заданном параметром -w, номере файла и дате и времени создания, например, outfile_00001_20050604120117.pcap, outfile_00002_20050604120523.pcap, ...
Я верю tcpdump может сделать это с помощью -W -C -G опции. Смотрите man-страницу для деталей.
-W
Используется вместе с опцией -C, это ограничит количество файлов, созданных указанным числом, и начнет перезаписывать файлы с самого начала, создавая таким образом "вращающийся" буфер. Кроме того, он будет называть файлы с достаточным начальным 0, чтобы поддерживать максимальное количество файлов, что позволяет их правильно сортировать. Используется вместе с опцией -G, это ограничит количество создаваемых повернутых файлов дампа, выходя из состояния 0 при достижении лимита. Если также использовать с -C, это приведет к циклическим файлам для каждого временного интервала.