跨越接口的Snort监控

Question

我已经配置了一个带有端口跨度的Cisco 3500交换机，并将我的snort节点(fedora 13)插入其中。我将snort作为守护进程运行，并配置了一个规则来记录所有tcp通信量，但我只看到带有snort节点目的地的通信量。我知道SPAN端口是工作的，并想知道是否有一个特定的选项，我需要开始snort，以便它收集所有的流量？还是我在这里错过了什么？

非常感谢。

Answer 1

根据您的包附带的配置，您可能有一些设置错误。基本的snort.conf文件应该可以工作，但是您应该检查系统配置文件/etc/sysconfig/snort，并确保这两个选项是正确设置的。

• 接口
• BPF

此外，您还应该查看系统日志(默认情况下为/var/log/messages )，以查看接口是否实际上正在进入混杂模式。如果是这样的话，你应该看到沿着这些线的东西。

内核:设备eth1进入混乱模式

您还可以从完善监视器预处理程序中获得良好的调试信息。您可以在您的snort.conf中启用以下内容

preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats pktcnt 10000

这将从snort应用程序转储一个非常大的逗号描述的性能值列表。所有转储值的完整列表都可以在手册中找到，您可以在手册中找到，也可以在喷鼻_manual.pdf找到您可能感兴趣的内容：

• 收到的数据包总数
• Mbit/Sec (applayer)
• TCP会话初始化

这些值，可能还有其他值，应该有助于确定应用程序本身是否正在查看数据包，更不用说处理它们了。