tzsp_packetstream_exporter

Это приложение экспортирует показатели потока пакетов, полученных через TZSP. Цель состоит в том, чтобы измерить, какие типы потоков данных видны на уровне IPv4, не вдаваясь слишком глубоко в детали пакетов.

Системные требования:

• .NET Core 3.1
• TShark (вариант Wireshark для командной строки)
  • В Ubuntu пакета tshark достаточно.
  • В Windows установите полную версию Wireshark.
• 2 ГБ свободного места в каталоге временных файлов во время выполнения.

Команда tshark должна быть доступна в новом терминале. Возможно, вам придется зарегистрировать каталог установки в переменной среды PATH.

Это приложение выполняет только анализ потока пакетов, а не первоначальный захват. Вам необходимо настроить маршрутизатор для захвата потока пакетов и предоставления его в формате TZSP этому приложению.

MikroTik RouterOS имеет встроенную поддержку захвата пакетов TZSP. Вы также можете определить правило управления брандмауэром MikroTik с помощью действия sniff-tzsp для детальной фильтрации перехваченного трафика.

1. Настройте поток пакетов TZSP на сервер, на котором будет работать это приложение. Выберите произвольный номер порта для потока, например 1234.
2. Запустите приложение как tzsp_packetstream_exporter --interface eth0 --listen-port 1234 (дополнительную информацию см. в --help ).
3. Перейдите по адресу http://hostname:9184/metrics, чтобы просмотреть доступные метрики.
4. Зарегистрируйте hostname:9184 в вашей конфигурации Prometheus в качестве цели очистки.
5. Если вы используете Grafana, установите панель управления шаблоном.

Пример конфигурации очистки Prometheus:

  - job_name : ' my_packet_analysis '
    static_configs :
      - targets :
        - hostname:9184

Анализируются только пакеты IPv4 — IPv6 игнорируется.

Вы можете направить несколько потоков TZSP на один и тот же анализатор либо на один и тот же порт, либо на отдельные порты (используя несколько опций --listen-port ). Выходные метрики имеют метку, указывающую порт прослушивания, на который поступили данные.

tshark: не удалось запустить /usr/bin/dumpcap в дочернем процессе: разрешение отклонено

Пользователь, запускающий приложение, должен иметь необходимые разрешения для использования TShark. В Linux вам может потребоваться добавить пользователя в группу wireshark , в зависимости от конфигурации системы.

Приложение может выдать исключение отказа в доступе в Windows, если ваш пользователь не имеет права публиковать результаты на указанном порту. Вы можете использовать команду netsh , чтобы предоставить себе необходимые разрешения:

netsh http add urlacl url=http://+:9184/metrics user=DOMAINuser

Номер порта, который вам нужно указать здесь, — это порт публикации, по умолчанию 9184.

Реализации протокола TZSP могут при некоторых условиях обрезать пакеты, что может привести к тому, что операционная система отфильтрует их и никогда не передаст прослушивающему приложению. Использование TShark гарантирует, что мы сможем обрабатывать даже усеченные пакеты.