Suricata监控整个网络

Question

如何配置Suricate来捕获整个网络上的数据包？我已经配置了Suricate，但它只捕获发送到Suricata已安装主机的数据包。我希望整个网络数据包被Suricata捕获。

我有两个不同的网络，比如数据和内部，Suricata被放置在内部网络中。我已经将我的开关配置为监视几个端口并将其发送到Suricata的第二个端口，但我仍然没有看到任何更改。

这件事能帮上忙吗？

Answer 1

接口应该是杂乱无章的模式-查看所有通信量。

(如何依靠你的操作系统)

ifconfig eth1 up ifconfig eth1混杂

并检查suricata yaml中定义了哪些是在$HOME_NET下，以及设置了哪些规则文件，我建议在这里浏览一下，以更好地理解为什么会触发某些规则。