我已经配置了带有端口 SPAN 的 Cisco 3500 交换机,并将我的 snort 节点 (fedora 13) 插入其中。我正在将 snort 作为守护进程运行,并配置了一条规则来记录所有 tcp 流量,但我只看到以 snort 节点为目标的流量。我知道 SPAN 端口正在工作,想知道是否有一个特定的选项需要我启动 snort 才能让它拾取所有流量?或者我在这里遗漏了什么?
非常感谢。
答案1
根据软件包附带的配置,您可能有一些设置错误。基本 snort.conf 文件应该可以工作,但是您应该检查系统配置文件/etc/sysconfig/snort并确保这两个选项设置正确。
- 界面
- 带通滤波器
此外,默认情况下,您还应该查看系统日志,/var/log/messages以查看接口是否确实进入了混杂模式。如果是这样,您应该看到类似以下内容的内容
内核:设备 eth1 进入混杂模式
您还可以从 perfmonitor 预处理器获取良好的调试信息。您可以在 snort.conf 中启用它,如下所示
preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats pktcnt 10000
这将转储非常snort 应用程序中以逗号分隔的性能值列表。转储的所有值的完整列表可以在手册中找到,无论是随附的还是snort手册.pdf 您可能有兴趣看看:
- 接收的数据包总数
- Mbits/秒 (applayer)
- TCP 会话初始化
这些值以及可能的其他值应该有助于确定应用程序本身是否看到数据包,更不用说处理它们了。