配置虚拟网络接口作为嗅探接口

配置虚拟网络接口作为嗅探接口

我有一个运行 Ubuntu Server 16.04 的 Snort IDS,它有一个物理以太网接口 (eno1)。我使用 eno1 接口配置了两个虚拟网络接口:eno1:0 用于嗅探接口,eno1:1 用于管理接口,后者配置了静态 IP 地址。我遇到的问题是,只有管理接口 (eno1:1) 处于开启状态,而嗅探接口 (eno1:0) 处于关闭状态,如下面的 ifconfig 输出所示:

eno1      Link encap:Ethernet  HWaddr c4:34:6b:61:d1:b3
          inet6 addr: fe80::c634:6bff:ac61:d1b3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:28019 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1046 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3471780 (3.4 MB)  TX bytes:116452 (116.4 KB)
          Interrupt:20 Memory:f7c00000-f7c20000

eno1:1    Link encap:Ethernet  HWaddr c4:34:6b:61:d1:b3
          inet addr:192.168.1.154  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:20 Memory:f7c00000-f7c20000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:162 errors:0 dropped:0 overruns:0 frame:0
          TX packets:162 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:12020 (12.0 KB)  TX bytes:12020 (12.0 KB)

以下是 /etc/network/interfaces 中包含的嗅探和管理接口的设置:

# sniffer interface
auto eno1:0

iface eno1:0 inet manual
        up ifconfig $IFACE 0.0.0.0 up
        up ip link set $IFACE promisc on
        down ip link set $IFACE promisc off
        down ifconfig $IFACE down

post-up ethtool -K eno1:0 gro off
post-up ethtool -K eno1:0 lro off

# management interface
auto eno1:1

iface eno1:1 inet static
        address 192.168.1.154
        netmask 255.255.255.0
        broadcast 192.168.1.255
        gateway 192.168.1.2
        dns-nameservers 1.1.1.1

嗅探接口的配置设置从此开始使用关联,但嗅探接口没有启动。可能是什么问题?

答案1

在现代 Linux 上,eno1:0eno1:1只是一种用于将多个 IP 地址分配给单个接口的人工制品eno1。较新的实用程序ip直接执行此操作。因此,这些并不是真正的“虚拟接口”。

特别是,您不能将其中一个置于混杂模式,而另一个则处于正常模式。

有什么会阻止您使用eno1、正常配置它并让它snort进入混杂模式吗?

相关内容