问题[ips](server)

我想使用 Snort 2.x 作为 IPS。我知道，我需要两个 NIC 来捕获流量（DAQ 模式）。

• eth0= 我的网卡到 WAN
• eth1= 我用于 Snort 的内部（虚拟）NIC。

我当前的运行命令：

snort -u snort -g snort -c /etc/snort/snort.conf --daq afpacket -i eth0:eth1 -l /var/log/snort -Q

我如何启用 PROMISC 模式：

tee /etc/rc.local <<EOF
#!/bin/sh -e
ifconfig eth0 promisc
ifconfig eth1 promisc
exit 0
EOF
chmod +x /etc/rc.local
systemctl start rc-local

我需要将两张卡中的哪一张置于混杂模式？eth0，eth1甚至两者兼而有之？

以下场景：

• Web 应用，仅 HTTP/S 流量
• 防火墙到位，仅允许端口 80/443 上的流量
• WAF到位，设置拒绝恶意流量

问题：在这种情况下，是否有任何附加价值也有一个 IPS / 深度包装检测解决方案？据我所知：没有。但我没有找到任何明确的答案。

谈到网络服务器安全，我是一个偏执的人。

在 DigitalOcean 上，我正在运行一个服务器。他们将其称为 Droplet。Cloudflare 是我的 DNS 提供商，Cloudflare 代理并保护我的服务器免受 DDoS 攻击。

但是，我尝试在 ZoomEye.org 的网络安全搜索引擎上搜索我的域，它找到了我的原始 IP 地址。据研究人员称，黑客只需要知道源 IP 地址就可以对网站进行 DDoS 攻击。技术是 L3 还是 L7 没有区别。

如何避免您的服务器在此类网络安全搜索引擎上泄露其 IP 地址？

我想做什么？

我正在尝试通过 DHCP 在单个物理 ISP 上行电缆上获取 3 个公共 IP 地址。

出了什么问题？

续订有点不对劲。从接口来看，virtual0 在尝试通过与 DHCP 服务器的单播连接进行更新时工作得很好。virtual1 和 virtual2 接口因单播而失败。他们进入后备模式以使用广播并成功使用广播，但垃圾日志中充满了不好的东西。我正在运行 Debian 8 和 isc-dhcp-client v. 4.3.1 。

我在启动时设置了这样的接口：

IF_VIRTUAL_BASE=eth0
IF_PUB0=虚拟0
IF_PUB1=虚拟1
IF_PUB2=虚拟2
IF_LAN=eth2

ifconfig "$IF_VIRTUAL_BASE" 向上
ip link add link "$IF_VIRTUAL_BASE" 地址 00:90:0b:ff:10:5b "$IF_PUB0" type macvlan
ip 链接设置“$IF_PUB0”
ip link add link "$IF_VIRTUAL_BASE" 地址 00:90:0b:ff:11:5b "$IF_PUB1" type macvlan
ip 链接设置“$IF_PUB1”
ip link add link "$IF_VIRTUAL_BASE" 地址 00:90:0b:ff:12:5b "$IF_PUB2" type macvlan
ip 链接设置“$IF_PUB2”

# 启用转发
回声 1 > /proc/sys/net/ipv4/ip_forward

unset new_routers在为 virtual1 和 virtual2 完成 dhcprequest 时，我也会这样做。

猜猜看，这种怪物的作品：

7 月 11 日 20:45:43 gw dhclient：虚拟 0 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 20:45:43 gw dhclient：virtual1 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 20:45:43 gw ifup [582]：虚拟 0 到 255.255.255.255 端口 67 上的 DHCPREQUEST
7 月 11 日 20:45:43 gw ifup [592]：虚拟 1 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 20:45:43 gw dhclient：virtual2 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 20:45:43 gw ifup [634]：虚拟 2 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 20:45:46 gw dhclient：virtual1 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 20:45:46 gw ifup [592]：虚拟 1 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 20:45:46 gw dhclient：来自 88.113.75.2 的 DHCPACK
7 月 11 日 20:45:46 gw ifup [592]：来自 88.113.75.2 的 DHCPACK
7 月 11 日 20:45:46 gw logger: virtual1 (REBOOT): IP: -> 88.113.75.59; GW：-> 88.113.75.1

7 月 11 日 20:45:47 gw dhclient：virtual0 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 20:45:47 gw ifup [582]：虚拟 0 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 20:45:47 gw dhclient：来自 88.113.75.2 的 DHCPACK
7 月 11 日 20:45:47 gw ifup [582]：来自 88.113.75.2 的 DHCPACK
7 月 11 日 20:45:47 gw logger: virtual0 (REBOOT): IP: -> 88.113.75.65; GW：-> 88.113.75.1

7 月 11 日 20:45:50 gw dhclient：virtual2 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 20:45:50 gw ifup [634]：虚拟 2 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 20:45:50 gw dhclient：来自 88.113.75.2 的 DHCPACK
7 月 11 日 20:45:50 gw ifup[634]：来自 88.113.75.2 的 DHCPACK
7 月 11 日 20:45:50 gw logger: virtual2 (REBOOT): IP: -> 88.113.75.61; GW：-> 88.113.75.1

所以他们工作了，对吧？它们是广播请求。好的，快进一个小时左右，我们得到了这样的战利品：

7 月 11 日 21:45:09 gw dhclient：virtual2 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:45:11 gw dhclient：virtual1 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:45:22 gw dhclient：虚拟 2 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:45:25 gw dhclient：virtual1 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:45:32 gw dhclient：virtual1 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:45:43 gw dhclient：虚拟 2 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:45:46 gw dhclient：virtual1 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:45:56 gw dhclient：virtual2 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:46:05 gw dhclient：virtual1 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:46:11 gw dhclient：虚拟 2 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:46:21 gw dhclient：virtual1 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:46:30 gw dhclient：虚拟 2 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:46:33 gw dhclient：virtual1 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:46:42 gw dhclient：virtual2 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:46:47 gw dhclient：virtual1 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:47:00 gw dhclient：virtual2 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:47:01 gw dhclient：virtual1 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 21:47:09 gw dhclient：virtual1 上的 DHCPREQUEST 到 195.74.6.55 端口 67

virtual1 和 virtual2 接口拼命尝试通过单播连接到以前的 DHCP 服务器 195.74.6.55 来更新它们的 IP。他们失败了单播。但是接下来发生了一些有趣的事情，最后他们切换到广播作为后备并成功了！

7 月 11 日 22:30:41 gw dhclient：virtual1 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 22:30:47 gw dhclient：virtual2 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 22:30:52 gw dhclient：virtual1 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 22:30:52 gw dhclient：来自 88.113.75.2 的 DHCPACK
7 月 11 日 22:30:52 gw logger: virtual1 (RENEW): IP: 88.113.75.59 -> 88.113.75.59; GW: 88.113.75.1 -> 88.113.75.1

7 月 11 日 22:30:58 gw dhclient：虚拟 2 上的 DHCPREQUEST 到 255.255.255.255 端口 67
7 月 11 日 22:30:58 gw dhclient：来自 88.113.75.2 的 DHCPACK
7 月 11 日 22:30:59 gw logger: virtual2 (RENEW): IP: 88.113.75.61 -> 88.113.75.61; GW: 88.113.75.1 -> 88.113.75.1

观察 virtual0 接口：

7 月 11 日 22:38:17 gw dhclient：虚拟 0 上的 DHCPREQUEST 到 195.74.6.55 端口 67
7 月 11 日 22:38:18 gw dhclient：来自 195.74.6.55 的 DHCPACK
7 月 11 日 22:38:18 gw logger: virtual0 (RENEW): IP: 88.113.75.65 -> 88.113.75.65; GW: 88.113.75.1 -> 88.113.75.1

结论是，对于 virtual0 接口，单播 (dhclient) DHCP 请求有效，而对于 virtual1 和 virtual2，仅广播 DHCP 更新有效。所以，一定是路由问题吧？以下是典型启动后 ip route 显示的内容：

root@gw:~# ip 路由
默认通过 88.113.75.1 dev virtual0
88.113.75.0/24 dev virtual0 proto 内核范围链接 src 88.113.75.65
88.113.75.0/24 dev virtual1 proto 内核范围链接 src 88.113.75.59
88.113.75.0/24 dev virtual2 proto 内核范围链接 src 88.113.75.61
172.16.8.0/28 via 172.16.8.2 dev tun0 # 对于 openvpn
172.16.8.0/24 dev eth2 proto kernel scope link src 172.16.8.254 # For LAN
172.16.8.2 dev tun0 proto kernel scope link src 172.16.8.1 #For openvpn

如何使基于 macvlan 的接口 virtual1 和 virtual2 上的 dhclients 正确路由其单播续订请求并正确接收响应？

我已经完成了大量的谷歌搜索，试图触发许多设置，包括防火墙策略、基于策略的路由、eth0 promisc 模式和 sysctl 变量、剥离通用网络设置等。我目前正在 dhclient 上进行 strace。这些设置的一种组合必须有效。如果需要更多信息，我很乐意提供。

EDIT1：dhclient strace 已准备就绪。

这发生在一开始：

绑定(5, {sa_family=AF_PACKET, proto=0x7669, if1635087474, pkttype=PACKET_HOST, addr(0)={12652, }, 16) = 0
绑定(6, {sa_family=AF_INET, sin_port=htons(68), sin_addr=inet_addr("0.0.0.0")}, 16) = 0
sendto(5, "......", 342, 0, {sa_family=AF_PACKET, proto=0x7669, if1635087474, pkttype=PACKET_HOST, addr(0)={12652, }, 18) = 342

据我了解，“sendto(5”) 是第一个成功的基于广播的 dhclient 发送。

然后，稍后第一个失败的单播发送：

sendto(6, "......", 300, 0, {sa_family=AF_INET, sin_port=htons(67), sin_addr=inet_addr("195.74.6.55")}, 16) = 300

并且下一个成功的广播发送：

sendto(5, "......", 342, 0, {sa_family=AF_PACKET, proto=0x7669, if1635087474, pkttype=PACKET_HOST, addr(0)={12652, }, 18) = 342

期待在几个 FreeBSD 防火墙上部署 IDS/IPS，我很好奇 snort 和 suricata 之间的区别。我知道 Suricata 是多线程的，但就规则处理和其他它们的工作方式而言，有什么真正的区别应该让我选择另一个吗？

我必须部署一个基于 Snort 的入侵防御系统。

我在这方面完全是新手，所以任何形式的帮助，初学者的参考将不胜感激。

snort 文档也谈到了 Honeynet Snort Inline Toolkit，但它的可用链接返回 404。我在 Honey net 上检查过，但找不到。

请帮忙。

提前致谢

阿什什

我们有一个安装了 IPS 模块的 Cisco ASA 5510 防火墙。

我们有一个客户，我们必须通过 VPN 连接到他们的网络才能通过 FTP 交换文件。我们在本地工作站上使用 Cisco VPN 客户端（版本 5.0.01.0600），这些工作站位于防火墙后面并受 IPS 约束。

VPN 客户端成功连接到远程站点。但是，当我们开始 FTP 文件传输时，我们只能上传 150K 到 200K 的数据，然后一切都停止了。一分钟后，VPN 会话被丢弃。

我想我已经通过使用以下命令暂时禁用 ASA 上的 IPS 服务策略，将其隔离为 IPS 问题：

访问列表 IPS 第 1 行扩展许可 ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 不活动

发出此命令后，我建立了到远程站点的 VPN，并成功传输了整个文件。

在仍然连接到 VPN 和 FTP 会话时，我发出了启用 IPS 的命令：

访问列表 IPS 第 1 行扩展许可 ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

再次尝试文件传输并再次成功，因此我关闭了 FTP 会话并重新打开它，同时保持相同的 VPN 会话打开。此文件传输也成功。这告诉我 FTP 程序没有被过滤或导致问题。此外，我们每天使用 FTP 与许多站点交换文件，没有问题。

然后，我断开了在访问列表处于非活动状态时建立的原始 VPN 会话，并重新连接了 VPN 会话，现在访问列表处于活动状态。开始 FTP 传输后，文件在 150K 后停止。

对我来说，这似乎是 IPS 被阻止，或者以某种方式干扰了远程站点的初始 VPN 设置。

这仅在上周应用了最新的 IPS 签名更新（sig 版本 407.0）后才开始发生。我们之前的 sig 版本是 95 天，因为系统不会自动更新。

关于可能导致此问题的任何想法？

我的 ASA 5510 防火墙中运行了一个 Cisco IPS 模块。

现在，我正在尝试解决我的两个用户在 VPN 进入远程合作伙伴站点时遇到的网络/VPN 问题。

我想关闭 IPS 模块以确定它是否阻塞了任何东西并因此导致了问题。

有没有一种简单的方法可以做到这一点而不会丢失我的所有配置？我只想禁用它几分钟，看看问题是否消失。

谢谢