Utilizando Ethereal/Wireshark com RouterOS

Há situações em que devemos analisar o tráfego para poder ter informações e realizar alguma ação/medida, seja por um ataque ou detectar problemas de negociação de algum protocolo. Para eles, precisamos de uma ferramenta para poder analizar a rede.

O MikroTik RouterOS possui um pacote sniffer integrado que nos permitirá analisar o tráfego que passa pelo roteador. Essa funcionalidade nos permite analisar o tráfego, salvá-lo em um arquivo ou enviá-lo por streaming para um servidor executando o Wireshark. O streaming é feito pelo UDP porta 37009 no formato TZSP.

Para configurar o sniffer  no RouterOS para enviar para um host executando o Wireshark você precisa configurá-lo com:

/tool sniffer set streaming-enabled=yes streaming-server=IP_WIRESHARK_HOST
/tool sniffer start

O Wireshark (o analisador de rede mais conhecido) está disponível para Linux/Windows/MacOS  é gratuito e pode ser baixado em wireshark.org.

Entre as funcionalidades do Wireshark temos:

Análise de DPI de centenas de protocolos.
Análise online ou offline
Análise profunda para VoIP (permite até reconstruir e ouvir uma chamada SIP)
Pode ler dados de Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay entre outros.