Hi 2All!
Удалось ли кому запустить snort ( http://www.snort.org ) на интерфейсе без IP адреса
( http://www.enteract.com/~robt/Docs/Howto/Sun/sniffer-trick.txt ). На любом железе, - интел, спарк или дижитал, и если да то под какой OS??Проблем в следующем- uplink switch 100Mbit fullduplex (forced), раз в сутки, приблизительно в одно и то же время умирает, причем наглухо. не отвечает даже с консоли. Hardware problem - исключена, менялся свичь, проблема осталась. внутри сети юзеров нет, одни сервера. крутится WRRP protocol.
В uplink врезаю еще один свич , на котором делаю mirror port на весь входящий трафик, вот его-то ВЕСь (ICMP, SNMP, ...) я и хочу поймать. Точнее ,чтобы snort поймал, если там будет что-то, а то если ловить все подряд выходит больше 4Gb в час. Я могу snoop-ом кинуть все в файл, железо кажется позволяет, но чем потом проанализировать данные? Grep тут явно не спасет о.р.д....
Доступа к свичу наверх нет. в момент отказа трафик через свич около 5-10% от максимальной, хотя нагрузка на CPU начинает немного возрастать.Спасибо что дочитали, если есть идеи, поделитесь плиз.
По первому - удавалось. OC - Linux Debian 2.2.19 i386По второму - как связан твой свитч и снорт на интерфейсе без айпи - я, честно говоря, не понял. Могу порекомендовать только, если свитч поддерживает snmp, то глядеть егойные snmp'шные алерты.
По третьему - тут я вообще ничего не понял. Ну идет траффик, дак снорт достаточно умная софтина, чтобы уметь фильтровать алерты. А будет он с таким траффиком справляться или нет - зависит от железа. Как вариант уменьшения нагрузки, если один сенсор уже не справляется - физическое разделение сенсоров и разнос портов на свитче на виланы.
>По первому - удавалось. OC - Linux Debian 2.2.19 i386
>
>По второму - как связан твой свитч и снорт на интерфейсе без
>айпи - я, честно говоря, не понял. Могу порекомендовать только, если
>свитч поддерживает snmp, то глядеть егойные snmp'шные алерты.
>Switch - hardware load balancer, у него всего два порта, вход и выход, на входном порту висит около 150 виртуальных IP, выходной уходит в другой свитч с серверами. От входного порта уходит uplink к "провайдеру", доступа к его свитчу у меня нет. поэтому между ними я втыкаю еще один свитч, на котором делаю зеркальный порт, на который перенаправляю весь входящий траффик. Вот на него я и хочу повесить снорт.
Можно подробнее про Линукс, что потребовалось , что бы запустить снорт без IP? Может ссылка есть ?
Спасибо.
ifconfig eth1 up
snort -i eth1 -o -X -u snort -g snort -c /etc/snort/snort.conf.eth1