Назад | Перейти на главную страницу

Snort мониторинг связующего интерфейса

Я настроил коммутатор Cisco 3500 с SPAN портов и подключил к нему свой узел snort (fedora 13). Я запускаю snort как демон и настроил правило для регистрации всего трафика tcp, но я вижу только трафик с местом назначения узла snort. Я знаю, что порт SPAN работает, и хотел узнать, есть ли конкретная опция, с которой мне нужно было запустить snort, чтобы он собирал весь трафик? Или я что-то здесь упустил?

Большое спасибо.

В зависимости от конфигурации, поставляемой с вашим пакетом, некоторые настройки могут быть неправильными. Базовый файл snort.conf должен работать, однако вы должны проверить файл конфигурации системы. /etc/sysconfig/snort и убедитесь, что эти два параметра установлены правильно.

  • ИНТЕРФЕЙС
  • БНФ

Также вы должны посмотреть системный журнал, /var/log/messages по умолчанию, чтобы увидеть, действительно ли интерфейс переходит в неразборчивый режим. Если это так, вы должны увидеть что-то в этом роде

ядро: устройство eth1 перешло в беспорядочный режим

Вы также можете получить хорошую отладочную информацию из препроцессора perfmonitor. Вы можете включить его в snort.conf с помощью чего-то вроде

preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats pktcnt 10000

Это сбросит ОЧЕНЬ большой разделенный запятыми список значений производительности из приложения snort. Полный список всех сброшенных значений можно найти в руководстве, отправленном либо в snort_manual.pdf Возможно, вам будет интересно посмотреть:

  • Всего полученных пакетов
  • Мбит / сек (апплайер)
  • Инициализация сеансов TCP

Значения этих и, возможно, других, должны помочь определить, видит ли само приложение даже пакеты, не говоря уже об их обработке.