Recentemente, descobrimos um bug na capacidade de um fornecedor de hardware de agregar porta a uma porta de monitoramento. Eles nos deram uma estimativa de pelo menos 6 meses de desenvolvimento para obter uma correção. Como este é um requisito operacional para nós, precisamos descobrir outra maneira de obter acesso a esses dados de pacote. Existe alguma maneira de espelhar todo o tráfego de uma interface de rede no linux para outra interface (tanto dentro quanto fora)? Então poderíamos anexar a caixa de monitoramento à segunda porta e capturar os dados lá.
Duas ideias possíveis:
Crie uma ponte entre duas interfaces e use brctl setageingtime 0 para garantir que nenhum endereço seja aprendido e que todos os pacotes não destinados ao host de ponte sejam encaminhados pelas interfaces.
O Daemonlogger do Sourcefire pode gravar todo o tráfego em uma interface para outra interface.
Tags port