我即将在我的家庭局域网中的 FritzBox 路由器后面构建一个自动入侵检测系统 (IDS)。
我正在使用带有Raspbian Jessie的 Raspberry Pi ,但任何 dist 都可以。
经过一些搜索和试用后,我发现了ntop(说实话,ntopng ,但我想我的问题针对任何版本)。
ntop可以自行捕获网络流量,但这不是我想要的,因为我想获得所有流量,而不是将 Pi 放在设备之间或让他充当网关(出于性能原因)。幸运的是,我的 FritzBox OS 具有模拟镜像端口的功能。您可以下载实时连续编写的 .pcap。我使用此链接中的脚本来执行此操作。
问题是我无法像使用 tshark 那样将 wget 下载通过管道传输到 ntop。
我在找:
wget -O - http://fritz.box/never_ending.pcap | ntopng -f -
虽然这很好用:
wget -O - http://fritz.box/never_ending.pcap | tshark -i -
其他分析软件的建议还可以(如果足够漂亮;))但我想使用 FritzBox-pcap-thing...
感谢您节省了我的另一天:)
编辑: 所以我开始采用这种方法:
- 制作 pcap 块并运行一个脚本以逐个分析每个 pcap。问题ntop 不合并结果,如果流量过热,我可能会遇到存储问题
- 每次通过管道
wget传输并覆盖一个 pcap。tshark然后用ntop分析一下。问题又来了,存储 - 管道
wget切tshark出一些信息并将它们存储到数据库中。问题我应该存储哪些信息以及哪些程序比 pcaps 更喜欢 dbs?