как читать и автоматически анализировать pcap от STDIN

Question

Я собираюсь создать автоматическую систему обнаружения вторжений (IDS) за моим маршрутизатором FritzBox в моей домашней локальной сети.

Я использую малину Pi с Raspbian Jessie, но любой уровень был бы в порядке.

После некоторых поисков и пробным я нашел NTOP (ntopng быть честным, но я предполагаю, что мои вопросы ставит перед собой цель любой версии).

NTOP может захватывать сетевой трафик самостоятельно, но тот не то, что я хочу, потому что я хочу, чтобы весь трафик, не подвергая Pi между устройствами или позволить ему действовать в качестве шлюза (по соображениям производительности) , К счастью, my FritzBox OS has a function to simulate a mirror port. Вы можете скачать .pcap, который непрерывно записывается в реальном времени. Я делаю это со сценарием по этой ссылке.

Проблема в том, что я не могу передать загрузку wget на ntop, как я мог бы это сделать, например. tshark.

Я ищу:

wget -O - http://fritz.box/never_ending.pcap | ntopng -f - 

В то время как это работает отлично:

wget -O - http://fritz.box/never_ending.pcap | tshark -i - 

Предложения другого программного обеспечения анализирующего нормально (если достаточно довольно;)), но я хочу использовать Fritzbox -pcap-вещь ...

Спасибо за спасение еще один день мой :)

Edit: Так я пришедший к этому подходит:

• Сделать куски pcaps прогон скрипт для анализа каждого PCAP за другим. Проблема ntop не объединяет результаты, и я мог бы получить проблему с хранением, если трафик работает горячим
• Труба wget до tshark и каждый раз перезаписывать один pcap. Затем проанализируйте его с помощью ntop. Задача снова, хранение
• Труба wget до tshark вырезать некоторую информацию и хранить их в базе данных. Проблема, какую информацию я должен хранить, а какая программа любит dbs больше, чем pcaps?

Answer 1

-i вариант в tshark является определение интерфейса, в то время как -f вариант в NTOP это указать имя для самосвала файла. В ntopng Я даже не знал, что есть опция -f !?

Это решение проблемы?