Inspelning av nätverkstrafik (trafikinspelning)
Om trafikinspelning används så skulle det vara möjligt att till viss del se om ett TLS heartbeat-paket skickats.
Det kan även vara en fördel att kryptera de råa filerna så att en enskild individ ej kan nyttja nätverkstrafiken (dubbelhandsfattning). Denna metod kallas även ibland för FPC (Full Packet Capture).
Teknisk lösning för trafikinspelning
Det finns flera sätt att lösa detta rent tekniskt. Ett sätt är att använda sig av dumpcap som en ringbuffer där man kan ställa in att exempelvis nyttja X antal GB spritt över X antal filer.
Se framförallt till att det finns tillräckligt med utrymme på hårddisken. Med fördel bör även utrustningen för trafikinspelning placeras på ett sådant sätt att maximalt med trafik ses, exempelvis vid en perimeter i nätverket eller vid centrala noder.
För att spela in nätverkstrafik 7 dagar oavsett hur mycket hårddisk som nyttjas skriver man följande kommando:
$ sudo dumpcap -i en0 -b duration:3600 -b files:168 -w packets.cap
En mer rekommenderad variant är att nyttja maximalt med tillgängligt diskutrymme och göra enligt följande om vi har 11 GB ledigt diskutrymme på filsystemet /pcap
$ sudo dumpcap -i en0 -b filsize:1048576 -b files:10 -w /pcap/packets.cap
Se även till att paketdumparna ligger på ett eget filsystem för att förhindra att diskutrymme tas upp av något annat i operativsystemet.
Nätverkstappar
Det man bör titta efter är en med hög driftsäkerhet såsom dubbla nätverksaggregat samt som fungerar även vid strömbortfall. Även är aggregering en önskvärd funktion för att få RX samt TX via en enda kabel.
Netoptics har ett stort utbud av nätverkstappar men är rätt dyra, vill man ha en lite billigare variant så säljer Direktronik EasyTap som kostar runt 3000 SEK.
Även så går det att nyttja en såkallad span-port mirroring på många av dagens switchar:
Vidare läsning
Även så har nu Google utvecklat en mjukvara vid namn Stenographer som sparar ner stora mängder datatrafik till disk: https://github.com/google/stenographer