目的:サーバーからのトラフィックの除去と、その後の分析のためにネットワークを介して別のサーバーに送信するトラフィックを整理する。 最も単純なケースでは、Linux OSはCiscoスイッチのSPAN機能を使用します。 既存のサーバーではなく、分析専用のサーバーでコンテンツを分析する場合も、同様の問題が発生します。 最も単純なケースでは、図に示す回路を実装します。
このスキームでは、ゲートウェイを通過するすべてのユーザートラフィックをチェックします。 Snormなどの侵入検知システムを分析に使用できます。
このようなスキームを実装するには、netfilter ipt_ROUTEのカーネルスペースモジュールと、ユーザースペースiptablesのROUTEターゲットのサポートが必要です(debianにはボックスがあります)。 ipt_ROUTE.cカーネルモジュールは
patch-o-maticから削除され、サポートされていないため、新しいカーネル> = 2.6.24でビルドされません。 私はそれを新しいカーネルに移植し、
Googleコードに投稿しました。
インストールするには、次を実行します。
$svn co iptroute.googlecode.com/svn/trunk iptroute
$cd iptroute
$make
$sudo make installその結果、netfilter用のipt_ROUTEモジュールをインストールしました。
次に、キャプチャしたトラフィックを送信するインターフェイスを整理するだけです。 これは、物理インターフェイス、VLANインターフェイス、またはトンネルにすることができます。図に示す最も簡単なオプションを検討してください。
eth0-inet addr:10.10.10.2インターネットで検索するインターフェイス
eth1-inet addr:ローカルネットワークを見る192.168.1.1インターフェイス
eth2-inet addr:172.16.0.1除去インターフェース、ゲートウェイが通過するすべてのトラフィックが複製されます
トラフィックを受信する仮想サーバーを追加します。
#arp -i eth2 -s 172.16.1.2 00:00:00:00:00:01FORWARDチェーンを通過するすべてのトラフィックを、削除サーバー172.16.1.2のアドレスに複製します。
#iptables -t mangle -A FORWARD -j ROUTE --tee --gw 172.16.1.2すべての操作の後、ゲートウェイを通過するすべてのトラフィックを分析できます。 eth2インターフェースに接続するだけです。
同様に、Webサーバーまたはメールサーバーからのトラフィックを簡単に分析できます。
当初、このようなスキームは、専用サーバー上の暗号化されたPPtPおよびOpenVPNトンネル内のトラフィックを分析するために考案されました。