Я ищу метод в Linux для входа переданного объема данных (полученный и отправленный отдельно) для каждого IP-адреса, к которому данные были отправлены в или получены из. Эти статистические данные работали бы на маршрутизаторе, позади которого частная сеть. Я ищу статистику между частной сетью и Интернетом.
Я знаю об инструментах как vnstat, iptraf, также iptables возможности, но от того, что я понимаю, ни один из них не может сделать так на каждый IP-адрес, с которым произошла коммуникация. Порт не имеет значения здесь.
Возможно, существует умный способ проанализировать tcpdump .pcap вывод? Приложение здесь должно было бы контролировать аномалии из частной сети. Т.е. если неизвестный IP-адрес, кажется, получает большой объем данных из сети, это могло означать проникновение.
Другой очень простой инструмент, обладающий гораздо меньшей функциональностью, но решающий именно тематический вопрос - "darkstat". Предоставляет байты входа/выхода на IP-адрес в дополнение к общим графикам использования данных
.