我想使用 Snort 2.x 作为 IPS。我知道,我需要两个 NIC 来捕获流量(DAQ 模式)。
eth0= 我的网卡到 WANeth1= 我用于 Snort 的内部(虚拟)NIC。
我当前的运行命令:
snort -u snort -g snort -c /etc/snort/snort.conf --daq afpacket -i eth0:eth1 -l /var/log/snort -Q
我如何启用 PROMISC 模式:
tee /etc/rc.local <<EOF
#!/bin/sh -e
ifconfig eth0 promisc
ifconfig eth1 promisc
exit 0
EOF
chmod +x /etc/rc.local
systemctl start rc-local
我需要将两张卡中的哪一张置于混杂模式?eth0,eth1甚至两者兼而有之?
这取决于您要捕获的流量。如果您想要查看所有流量,
eth0请eth1使用-i eth0:eth1.