Linux
跨介面的 Snort 監控
我已經為 Cisco 3500 交換機配置了一個埠 SPAN,並將我的 snort 節點 (fedora 13) 插入其中。我將 snort 作為守護程序執行,並配置了一條規則來記錄所有 tcp 流量,但我只看到以 snort 節點為目的地的流量。我知道 SPAN 埠正在工作,並想知道是否有一個特定的選項我需要啟動 snort 以使其接收所有流量?或者我在這裡錯過了什麼?
非常感謝。
根據您的包裹附帶的配置,您可能有一些設置錯誤。基本的 snort.conf 文件應該可以工作,但是您應該檢查系統配置文件
/etc/sysconfig/snort
並確保這兩個選項設置合理。
- 界面
- BPF
此外,您還應該查看
/var/log/messages
預設情況下的系統日誌,以查看界面是否實際進入混雜模式。如果是這樣,你應該看到這些方面的東西核心:設備 eth1 進入混雜模式
您還可以從 perfmonitor 預處理器獲得良好的調試資訊。您可以在您的 snort.conf 中啟用它,例如
preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats pktcnt 10000
這將從 snort 應用程序中轉儲一個非常大的逗號描述的性能值列表。可以在手冊中找到所有轉儲值的完整列表,無論是發貨還是在snort_manual.pdf 您可能有興趣查看:
- 收到的總數據包
- Mbits/Sec(應用程序)
- TCP 會話初始化
這些值,可能還有其他值,應該有助於確定應用程序本身是否看到了數據包,更不用說處理它們了。