我即将在我的家庭局域网中的FritzBox路由器后面建立一个自动入侵检测系统(IDS)。
我使用Raspberry Pi与 Raspbian Jessie ,但任何dist都没问题。
经过一些搜索和试用后,我发现 ntop ( ntopng 说实话,但我想我的问题针对的是任何版本)。
ntop 可以自行捕获网络流量,但不我想要的东西,因为我希望获得所有流量而不将Pi放在设备之间或让他充当网关(出于性能原因)。幸运的是my FritzBox OS has a function to simulate a mirror port。您可以下载实时连续编写的.pcap。我使用此链接中的脚本执行此操作。
问题是我无法将wget下载管道传输到ntop,就像我可以用例如tshark的。
我正在寻找:
wget -O - http://fritz.box/never_ending.pcap | ntopng -f -
虽然这很好用:
wget -O - http://fritz.box/never_ending.pcap | tshark -i -
其他分析软件的建议是可以的(如果足够的话);)但我想使用FritzBox-pcap-thing ......
感谢您节省我的另一天:)
修改 所以我采用了这种方法:
wget传递给tshark并每次覆盖一个pcap。然后用ntop分析它。 问题再次,存储wget管道tshark切出一些信息并将其存储到数据库中。 问题我应该存储哪些信息以及哪些程序比pcaps更喜欢dbs?答案 0 :(得分:0)
tshark 中的-i选项是指定接口,而 ntop 中的-f选项是指定转储的名称-文件。
在 ntopng 中,我甚至不知道有-f选项!?
这会解决您的问题吗?