上週聽了 ora 公司的產品說明, 覺得不錯.
它是 tracking system 產品, 可是更 friendly / 非侵入式的作法, 它利用 switch 或 SLB設備的 mirror port 把流經的 traffic 導進這個 program , 由這個 program 來進行 traffic 分析.
架構簡圖:
若要自行作的話可能會需要看懂這個
Programming with pcap
http://www.tcpdump.org/pcap.htm
The Sniffer’s Guide to Raw Traffic (a libpcap tutorial)
http://yuba.stanford.edu/~casado/pcap/section1.html