Suricata가 전체 네트워크를 모니터링합니다.

Question

전체 네트워크에서 패킷을 캡처하도록 Suricate를 구성하는 방법은 무엇입니까? Suricate를 이미 구성했지만 Suricata가 설치된 호스트로 보내는 패킷 만 캡처합니다. Suricata가 전체 네트워크 패킷을 캡처하려고합니다.

데이터 및 내부와 같이 Suricata가 내부 네트워크에있는 두 가지 네트워크가 있습니다. 이미 몇 가지 포트를 모니터링하고 Suricata Server의 두 번째 포트를 지정하기 위해 스위치를 구성했지만 여전히 변경 사항은 볼 수 없었습니다.

이 문제에 대해 도움을 줄 수 있습니까?

Answer 1

모든 트래픽을 보려면 인터페이스가 무차별 모드 여야합니다.

다음 ifconfig eth1에 최대

다음 ifconfig eth1에의 PROMISC

을 (HOWTO는 운영 체제에 따라 다름) 및 suricata $ HOME_NET에서의 YAML, 무엇에 정의 된 것을 확인 rules 파일이 설정되었으므로 특정 규칙이 실행되는 이유를 더 잘 이해할 수 있도록 한 눈에 볼 것을 권장합니다.