使用 snort 和埠鏡像監控 /21 中的潛在壞人

我想/需要開始更好地監控我們的網路。它是一個奇怪的網路，因為它包含 2 /22 個公共 IP 和大量私有管理 IP。我在網路中確實有一個點，所有這些都聚集在一起，我可以在催化劑上打開埠鏡像。從那個埠，我想打開一個執行各種實用程序的盒子。Snort 在我的列表中名列前茅，但如果能通過 Netflow 之類的工具獲得一些網路統計資訊，那就太好了。

那麼，人們的想法是什麼。我可以輕鬆地打開一個所需的盒子。我們有可用的硬體。我應該跑什麼？我很想知道可能會發生什麼樣的令人討厭的事情，但我也想看看人們在網路上所做的事情的統計數據，這樣我就可以更好地調整我們的系統以更好地處理它並提高性能。

我很開放，所以請給我一些想法來配合我所擁有的。

那是做一些嗅探的理想場所。如果您願意花時間調整 snort 以使其有用（它不是開箱即用的，太吵了），它既具有教育意義又很有用！雙贏。

我不清楚細節，但我們正在從思科設備中提取淨流量數據，並將它們聚合到特定的盒子上進行分析。它與我們執行 IPS 的機器不同，但在網路方面非常接近它。Flow-data 也非常有用，不僅用於查找上傳/下載 .iso 文件的人員。

引用自：https://serverfault.com/questions/222347