openwrt使用port-mirroring
慕健
port-mirroring安装和使用
在openwrt的软件包中,搜索port-mirroring就可以安装,安装完成之后,openwrt中相当于有了一个port-mirroring的一个server,然后需要某台机器去接受发过来的信息,进行分析。
port-mirroring的设置文件在/etc/config/port-mirroring。
启动文件在/etc/init.d/port_mirroring。
注意,这两个一个用的是“-”,另外一个用的是“_”。
查看设置文件:
root@OpenWrt:/etc/config# cat port-mirroring
#
# OpenWrt Unified Configuration Interface (UCI) for port-mirroring
#
# https://github.com/mmaraya/port-mirroring
#
config 'port-mirroring'
option source_ports 'eth1' # interfaces (maximum of 4) to copy packets from
option promiscuous '1' # put source interface(s) in promiscuous mode
option target '192.168.0.153' # interface or IP address to send packets to
option protocol 'TEE' # 'TEE' iptables (default) or 'TZSP' TaZmen Sniffer Protocol
option filter '' # optional tcpdump/libpcap packet filter expressions
root@OpenWrt:/etc/config#
其中需要修改的是
option source_ports ‘eth1’
option target ‘192.168.0.153’
就是把所有source网卡的包,全部发送到target的ip地址,然后在target的机器上装一个分析软件,分析这些包。
第一次查看这个设置文件的时候,发现source_ports 是wan口,同时目标ip是个公网地址,至少路由器上部分包已经被发送到这个ip地址了。所以,安装以后需要尽快关闭port-mirroring,然后改配置文件。
关闭开启进程:
/etc/init.d/port_mirroring stop
/etc/init.d/port_mirroring start
root@OpenWrt:/etc/config# /etc/init.d/port_mirroring stop
stopped port-mirroring (pid 15389)
root@OpenWrt:/etc/config# /etc/init.d/port_mirroring start
root@OpenWrt:/etc/config#
如果能找到这个软件的ipk包,可以断网安装ipk,设置好以后再开启。
用来分析包的软件有:WFilter 付费软件、科来分析软件、wireshark。其他软件也应该可以,但还未找到合适的。
类似资料: