Linux

跨介面的 Snort 監控

  • March 1, 2011

我已經為 Cisco 3500 交換機配置了一個埠 SPAN,並將我的 snort 節點 (fedora 13) 插入其中。我將 snort 作為守護程序執行,並配置了一條規則來記錄所有 tcp 流量,但我只看到以 snort 節點為目的地的流量。我知道 SPAN 埠正在工作,並想知道是否有一個特定的選項我需要啟動 snort 以使其接收所有流量?或者我在這裡錯過了什麼?

非常感謝。

根據您的包裹附帶的配置,您可能有一些設置錯誤。基本的 snort.conf 文件應該可以工作,但是您應該檢查系統配置文件/etc/sysconfig/snort並確保這兩個選項設置合理。

  • 界面
  • BPF

此外,您還應該查看/var/log/messages預設情況下的系統日誌,以查看界面是否實際進入混雜模式。如果是這樣,你應該看到這些方面的東西

核心:設備 eth1 進入混雜模式

您還可以從 perfmonitor 預處理器獲得良好的調試資訊。您可以在您的 snort.conf 中啟用它,例如

preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats pktcnt 10000

這將從 snort 應用程序中轉儲一個非常大的逗號描述的性能值列表。可以在手冊中找到所有轉儲值的完整列表,無論是發貨還是在snort_manual.pdf 您可能有興趣查看:

  • 收到的總數據包
  • Mbits/Sec(應用程序)
  • TCP 會話初始化

這些值,可能還有其他值,應該有助於確定應用程序本身是否看到了數據包,更不用說處理它們了。

引用自:https://serverfault.com/questions/213126