Перед любым системным администратором рано или поздно возникает задача количественного анализа трафика (откуда / куда, по каким протоколам / портам, в каких объемах и т. п.), проходящего по его сети. Особенно неприятно, когда эта задача возникает спонтанно, как побочный результат DDoS-а, а денег на серьезные решения от Cisco или Arbor, как обычно, нет. И хорошо еще, если шлюзом для сети выступает сервер, на котором можно запустить tcpdump или wireshark, но что делать если:

* шлюзом выступает устройство провайдера, а в сети есть только файл-сервер;
* данные о трафике нужны не постоянно, а от времени к времени;
* устройство не поддерживает возможность запуска на нем сторонних программ;
* трафика столько, что сервер после запуска tcpdump-а «клеит ласты»;
* или наоборот, настолько мало, что его уровень сравним с долей (хотя и значительной) обычного трафика?

[Читать дальше →][1]

[1]: https://habrahabr.ru/post/280986/#habracut