tzsp_packetstream_exporter

Diese App exportiert Metriken zum über TZSP empfangenen Paketstrom. Das Ziel besteht darin, zu messen, welche Arten von Datenflüssen auf IPv4-Ebene sichtbar sind, ohne zu weit in die Paketdetails zu gehen.

Systemanforderungen:

• .NET Core 3.1
• TShark (die Befehlszeilenvariante von Wireshark)
  • Unter Ubuntu reicht das tshark -Paket aus.
  • Installieren Sie unter Windows die Vollversion von Wireshark.
• 2 GB freier Speicherplatz im Verzeichnis der temporären Dateien zur Laufzeit.

Der Befehl tshark muss in einem neuen Terminal verfügbar sein. Möglicherweise müssen Sie das Installationsverzeichnis in der Umgebungsvariablen PATH registrieren.

Diese App führt nur die Analyse des Paketstroms durch, nicht die anfängliche Erfassung. Sie müssen einen Router konfigurieren, um den Paketstrom zu erfassen und ihn dieser App im TZSP-Format bereitzustellen.

MikroTik RouterOS verfügt über integrierte Unterstützung für die TZSP-Paketerfassung. Sie können mit der Aktion sniff-tzsp auch eine MikroTik-Firewall-Mangle-Regel definieren, um den erfassten Datenverkehr detailliert zu filtern.

1. Richten Sie einen TZSP-Paketstream zu dem Server ein, auf dem diese App ausgeführt wird. Wählen Sie eine beliebige Portnummer für den Stream, zum Beispiel 1234.
2. Führen Sie die App als tzsp_packetstream_exporter --interface eth0 --listen-port 1234 aus (weitere Informationen finden Sie unter --help ).
3. Navigieren Sie zu http://hostname:9184/metrics, um die verfügbaren Metriken zu erkunden.
4. Registrieren Sie hostname:9184 in Ihrer Prometheus-Konfiguration als Scrape-Ziel.
5. Wenn Sie Grafana verwenden, installieren Sie das Vorlagen-Dashboard.

Beispiel einer Prometheus-Scrape-Konfiguration:

  - job_name : ' my_packet_analysis '
    static_configs :
      - targets :
        - hostname:9184

Es werden nur IPv4-Pakete analysiert – IPv6 wird ignoriert.

Sie können mehrere TZSP-Streams an denselben Analysator leiten, entweder am selben Port oder an separaten Ports (mithilfe mehrerer --listen-port -Optionen). Die Ausgabemetriken tragen eine Bezeichnung, die den Listen-Port angibt, auf dem die Daten angekommen sind.

tshark: /usr/bin/dumpcap konnte im untergeordneten Prozess nicht ausgeführt werden: Berechtigung verweigert

Der Benutzer, der die App ausführt, muss über die erforderlichen Berechtigungen zur Verwendung von TShark verfügen. Unter Linux müssen Sie den Benutzer je nach Systemkonfiguration möglicherweise zur wireshark -Gruppe hinzufügen.

Die App löst unter Windows möglicherweise eine Ausnahme „Zugriff verweigert“ aus, wenn Ihr Benutzer nicht das Recht hat, Ergebnisse auf dem angegebenen Port zu veröffentlichen. Mit dem Befehl netsh können Sie sich die erforderlichen Berechtigungen erteilen:

netsh http add urlacl url=http://+:9184/metrics user=DOMAINuser

Die Portnummer, die Sie hier angeben müssen, ist der Veröffentlichungsport, standardmäßig 9184.

Implementierungen des TZSP-Protokolls können unter bestimmten Bedingungen Pakete abschneiden, was dazu führen kann, dass das Betriebssystem sie herausfiltert und sie nie an die abhörende App übergibt. Die Verwendung von TShark stellt sicher, dass wir auch verkürzte Pakete verarbeiten können.