packet sniffing en logging: routerboard?

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
jorgo
Elite Poster
Elite Poster
Berichten: 839
Lid geworden op: 21 dec 2009, 15:59
Uitgedeelde bedankjes: 146 keer
Bedankt: 30 keer
Provider

Even het een en ander verduidelijken:

Code: Selecteer alles

[PC]---------------[logger]------------------[WAN/Modem]
Ik zou van al het dataverkeer tussen een PC en het internet transparant volgende zaken gedurende enkele dagen willen loggen:

-source
-destination
-port
-protocol
-tijd/datum

Het is belangrijk dat deze informatie opgeslagen kan worden om nadien geanalyseerd te worden.

Zelf heb ik al naar Wireshark gekeken, maar afaik moet dit op een PC/laptop geïnstalleerd worden wat ik zou willen vermijden.
Daarom dacht ik eerder aan een Routerboard als logger.
Heeft iemand al ooit zoiets gedaan met een RB? http://wiki.mikrotik.com/wiki/Manual:To ... et_Sniffer kan hiervoor gebruikt worden als ik het goed begrijp.

Bedankt voor het lezen en meedenken.
Omhoog
Gebruikersavatar
7zp
Plus Member
Plus Member
Berichten: 104
Lid geworden op: 01 jul 2008, 00:49
Uitgedeelde bedankjes: 7 keer
Bedankt: 8 keer
Provider

alle connecties loggen gaat wel een heel groot bestand worden!
Omhoog
jorgo
Elite Poster
Elite Poster
Berichten: 839
Lid geworden op: 21 dec 2009, 15:59
Uitgedeelde bedankjes: 146 keer
Bedankt: 30 keer
Provider

Over wat voor grootte spreken we dan ongeveer per 24h?
Omhoog
cybersurfr
Pro Member
Pro Member
Berichten: 315
Lid geworden op: 07 feb 2009, 21:46
Uitgedeelde bedankjes: 8 keer
Bedankt: 19 keer
Provider

Dit kan met een fritzbox;

https://ask.wireshark.org/questions/854 ... -fritz-box
Omhoog
ubremoved_15739
Elite Poster
Elite Poster
Berichten: 2831
Lid geworden op: 13 jul 2010, 13:21
Uitgedeelde bedankjes: 608 keer
Bedankt: 542 keer
Provider

jorgo schreef:Over wat voor grootte spreken we dan ongeveer per 24h?
Dat is natuurlijk afhankelijk van de trafiek.
Dus van enkele bytes tot ...
jorgo schreef:Daarom dacht ik eerder aan een Routerboard als logger.
Mocht je voor een RB gaan dan zou ik deze gebruiken als packet sniffer.
Eventueel met enkele filters om de output te beperken.
Het loggen van de data zou ik doen op een linux box met behulp van trafr, een programmaatje dat je vindt op de download pagina van MikroTik.
Afhankelijk van de beschikbare vrije HD ruimte op de linux box kan je heel wat loggen.

Code: Selecteer alles

usage: trafr <file | -s> [ip_addr]
        -s      write output to stdout. pipe it into tcpdump for example:
                ./trafr -s | /usr/sbin/tcpdump -r -
        ip_addr use to filter one source router by ip address
Lees ook eens even dit korte artikel: Howto capture traffic from a Mikrotik router on Linux.
Neem zeker ook de manual van tcpdump eens grondig door: tcpdump is een krachtige tool.
Het analyseren van de opgeslagen data kan je dan achteraf met behulp van Wireshark of zo.

Uiteraard zou je ook rechtstreeks én live de data in Wireshark kunnen ontvangen van de RB en analyseren.
Maar dit is, mijn inziens, meer error prone. Zeker over langere tijd.
Omhoog
krisken
Moderator
Moderator
Berichten: 19634
Lid geworden op: 07 nov 2006, 12:11
Twitter: kriskenbe
Locatie: Massemen - 91WET0
Uitgedeelde bedankjes: 1863 keer
Bedankt: 1003 keer
Contacteer:
Contacteer krisken
Provider

Zou je niet kunnen sniffen en dit loggen op een USB stick (voor RB's met USB poort)?

Internet = Orange 100/10Mbps + WirelessBelgië
Telefonie = EDPnet + OVH
GSM = Orange Go Extreme + Scarlet Red
TV = TVV App + Netflix + Disney+ + Streamz
Netwerk = Mikrotik + Ubiquiti
Omhoog
Plaats reactie

Terug naar “Netwerken en Security”