openwrt使用port-mirroring

port-mirroring安装和使用

在openwrt的软件包中，搜索port-mirroring就可以安装，安装完成之后，openwrt中相当于有了一个port-mirroring的一个server，然后需要某台机器去接受发过来的信息，进行分析。
port-mirroring的设置文件在/etc/config/port-mirroring。
启动文件在/etc/init.d/port_mirroring。
注意，这两个一个用的是“-”，另外一个用的是“_”。

查看设置文件：

root@OpenWrt:/etc/config# cat port-mirroring
#
# OpenWrt Unified Configuration Interface (UCI) for port-mirroring
#
# https://github.com/mmaraya/port-mirroring
#
config 'port-mirroring'
    option source_ports 'eth1'    # interfaces (maximum of 4) to copy packets from
    option promiscuous  '1'             # put source interface(s) in promiscuous mode
    option target       '192.168.0.153'      # interface or IP address to send packets to
    option protocol     'TEE'           # 'TEE' iptables (default) or 'TZSP' TaZmen Sniffer Protocol      
    option filter       ''              # optional tcpdump/libpcap packet filter expressions

root@OpenWrt:/etc/config#

其中需要修改的是
option source_ports ‘eth1’
option target ‘192.168.0.153’
就是把所有source网卡的包，全部发送到target的ip地址，然后在target的机器上装一个分析软件，分析这些包。
第一次查看这个设置文件的时候，发现source_ports 是wan口，同时目标ip是个公网地址，至少路由器上部分包已经被发送到这个ip地址了。所以，安装以后需要尽快关闭port-mirroring，然后改配置文件。
关闭开启进程：
/etc/init.d/port_mirroring stop
/etc/init.d/port_mirroring start

root@OpenWrt:/etc/config# /etc/init.d/port_mirroring stop
stopped port-mirroring (pid 15389)
root@OpenWrt:/etc/config# /etc/init.d/port_mirroring start
root@OpenWrt:/etc/config#

如果能找到这个软件的ipk包，可以断网安装ipk，设置好以后再开启。

用来分析包的软件有：WFilter 付费软件、科来分析软件、wireshark。其他软件也应该可以，但还未找到合适的。