我有以下 3 台 PC 通过以太网连接到路由器:
PC1 – 192.168.1.101(Linux Ubuntu)
PC2 – 192.168.1.100 (Windows)
PC3 – 192.168.1.1 (Windows)
所有 PC 均可互相 ping 通。
PC1 已在 IDS 模式下安装 Suricata。它包含一条简单的 ping 规则:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
我通过在 PC1 中输入以下命令来启动 Suricata:
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 是 PC1 中的主以太网接口:
当我从 PC2 和 PC3 ping PC1 时,会触发该 ping 规则,日志文件中会记录相应的消息。当我从 PC1 ping PC2 和 PC3 时,也会触发此规则。
但是,当我从 PC3 ping PC2 或反之时,不会触发此规则。Suricata 仅在 PC1 上的 eth3 接口上监听。当我从 PC3 ping PC2 时,流量不会通过 PC1,即使所有 3 台 PC 都在同一个网络上。
是否可以配置 Suricata 来监控整个网络而不仅仅是安装它的 PC?