TWPCAP v1.0.0リリース

約１週間前から開発を始めたTWPCAPの最初のリリースを公開しました。
リポジトリは、

GitHub - twsnmp/twpcap: Network sensor by packet capture

最初のリリースは、

Release v1.0.0 最初のリリース · twsnmp/twpcap

です。

TWPCAPとは

TWPCAPは、パケットキャプチャーからネットワークの情報を収集してsyslogで送信するセンサープログラムです。NetFlowではわからない情報をパケットの中身を解析して集めることができます。syslogで送信するのでTWSNMPシリーズ以外でも役に立つと思います。

TWPCAPが集めるネットワーク情報

以下の情報を集めることができます。

- モニタしたパケット数の統計情報
- ネットワーク上のEthernetパケットの種類別集計
- IPアドレスとMACアドレスの関係(ARP,IPv4,IPv6)
- DHCPサーバーとクライアントの情報
- DNSサーバーとクライアントの問い合わせ情報
- NTPサーバーの情報
- RADUISサーバーとクライアントの情報
- サーバーとクライアントのTLS通信の情報（TLSバージョン、暗号方式）

TWPCAPを動作させる環境

一番のおすすめはミラーポート

ポートミラーリングとは - IT用語辞典

にパケットキャプチャー専用用のLAN I/Fを接続することですが、普通のポートに接続した普通のLAN　I/FでもIPアドレスとMACアドレスの関係や接続したパソコンの通信情報はモニタできます。
動作OSとしてはLinux上のDocker環境です。

TWPCAPの使い方

TWPCAPは、Docker環境、Linux,Windows,Mac,RasberryPiで動作します。
 Docker版はDokcer HUBで公開

Docker Hub

していますので、

#docker run --rm -d --name twpcap --net host twsnmp/twpcap -h
Usage of ./twpcap:
-cpuprofile file
write cpu profile to file
-iface string
monitor interface
-interval int
syslog send interval(sec) (default 600)
-list
list interface
-memprofile file
write memory profile to file
-retention int
data retention time(sec) (default 3600)
-syslog string
syslog destnation list

で起動のパラメータを確認できます。

起動するためには、モニタするLAN I/F(-iface)とsyslogの送信先(-syslog)が必要です。
モニタするLAN I/Fは、-listを指定してコマンドを実行すれば確認できます。

#./twpcap -list
2021-07-16T06:21:18.442 version=v1.0.0(278ed5f)
Interface found:

Name: eth3
Description:
addresses:
- IP address: fe80::4c8:cc67:d4a6:4df0

この例ではen0がLAN　I/Fの名前です。

Mac OS,Windows,Linuxの環境では以下のコマンドで起動できます。（例はLinux場合）

#./twpcap -iface eth3 -syslog 192.168.1.1

Docker環境では以下のコマンドを実行すれば起動できます。

#docker run --rm -d --name twpcap --net host twsnmp/twpcap -iface eth3 -syslog 192.168.1.1

正常に動作すれば、syslogの送信先にタグがtwpcapというログが記録されます。

2021/07/16 05:23:16.016 info:local5 twpcap type=Stats,total=615837,count=336473,ps=5607.88
2021/07/16 05:23:16.016 info:local5 twpcap type=IPToMAC,ip=240d:2:6306:6700:5135:6417:5d73:389b,mac=48:b0:2d:2e:29:19,count=3,change=0,dhcp=0,ft=2021-07-16T05:21:49+09:00,lt=2021-07-16T05:23:01+09:00

type=の部分がレポートの種類です。

Stats:統計情報
IPToMAC:IPアドレスとMACアドレスの関係
DNS:DNS情報
TLSFlow：TLSの通信情報
RADIUS: RADIUSの通信情報
DHCP:DCHPの通信情報
NTP:NTPサーバーの情報
ETherType:Ethernetフレームタイプの情報