Я настроил коммутатор Cisco 3500 с SPAN портов и подключил к нему свой узел snort (fedora 13). Я запускаю snort как демон и настроил правило для регистрации всего трафика tcp, но я вижу только трафик с местом назначения узла snort. Я знаю, что порт SPAN работает, и хотел узнать, есть ли конкретная опция, с которой мне нужно было запустить snort, чтобы он собирал весь трафик? Или я что-то здесь упустил?
Большое спасибо.
В зависимости от конфигурации, поставляемой с вашим пакетом, некоторые настройки могут быть неправильными. Базовый файл snort.conf должен работать, однако вы должны проверить файл конфигурации системы. /etc/sysconfig/snort
и убедитесь, что эти два параметра установлены правильно.
Также вы должны посмотреть системный журнал, /var/log/messages
по умолчанию, чтобы увидеть, действительно ли интерфейс переходит в неразборчивый режим. Если это так, вы должны увидеть что-то в этом роде
ядро: устройство eth1 перешло в беспорядочный режим
Вы также можете получить хорошую отладочную информацию из препроцессора perfmonitor. Вы можете включить его в snort.conf с помощью чего-то вроде
preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats pktcnt 10000
Это сбросит ОЧЕНЬ большой разделенный запятыми список значений производительности из приложения snort. Полный список всех сброшенных значений можно найти в руководстве, отправленном либо в snort_manual.pdf Возможно, вам будет интересно посмотреть:
Значения этих и, возможно, других, должны помочь определить, видит ли само приложение даже пакеты, не говоря уже об их обработке.