我想使用 Snort 2.x 作为 IPS。我了解到,我需要两个 NIC 来捕获流量(DAQ 模式)。
eth0= 我的网卡连接到 WANeth1= 我的 Snort 内部(虚拟)NIC。
我当前的运行命令:
snort -u snort -g snort -c /etc/snort/snort.conf --daq afpacket -i eth0:eth1 -l /var/log/snort -Q
如何启用PROMISC模式:
tee /etc/rc.local <<EOF
#!/bin/sh -e
ifconfig eth0 promisc
ifconfig eth1 promisc
exit 0
EOF
chmod +x /etc/rc.local
systemctl start rc-local
我需要将哪一张卡置于混杂模式?eth0或者eth1甚至两张卡都置于混杂模式?
答案1
这取决于您要捕获哪些流量。如果您想要捕获所有流量eth0,eth1请使用-i eth0:eth1。