Linux

使用 snort 和埠鏡像監控 /21 中的潛在壞人

  • February 12, 2011

我想/需要開始更好地監控我們的網路。它是一個奇怪的網路,因為它包含 2 /22 個公共 IP 和大量私有管理 IP。我在網路中確實有一個點,所有這些都聚集在一起,我可以在催化劑上打開埠鏡像。從那個埠,我想打開一個執行各種實用程序的盒子。Snort 在我的列表中名列前茅,但如果能通過 Netflow 之類的工具獲得一些網路統計資訊,那就太好了。

那麼,人們的想法是什麼。我可以輕鬆地打開一個所需的盒子。我們有可用的硬體。我應該跑什麼?我很想知道可能會發生什麼樣的令人討厭的事情,但我也想看看人們在網路上所做的事情的統計數據,這樣我就可以更好地調整我們的系統以更好地處理它並提高性能。

我很開放,所以請給我一些想法來配合我所擁有的。

那是做一些嗅探的理想場所。如果您願意花時間調整 snort 以使其有用(它不是開箱即用的,太吵了),它既具有教育意義又很有用!雙贏。

我不清楚細節,但我們正在從思科設備中提取淨流量數據,並將它們聚合到特定的盒子上進行分析。它與我們執行 IPS 的機器不同,但在網路方面非常接近它。Flow-data 也非常有用,不僅用於查找上傳/下載 .iso 文件的人員。

引用自:https://serverfault.com/questions/222347