Hi 2All!
Удалось ли кому запустить snort ( http://www.snort.org ) на интерфейсе без IP адреса
( http://www.enteract.com/~robt/Docs/Howto/Sun/sniffer-trick.txt ). На любом железе, - интел, спарк или дижитал, и если да то под какой OS??
Проблем в следующем- uplink switch 100Mbit fullduplex (forced), раз в сутки, приблизительно в одно и то же время умирает, причем наглухо. не отвечает даже с консоли. Hardware problem - исключена, менялся свичь, проблема осталась. внутри сети юзеров нет, одни сервера. крутится WRRP protocol.
В uplink врезаю еще один свич , на котором делаю mirror port на весь входящий трафик, вот его-то ВЕСь (ICMP, SNMP, ...) я и хочу поймать. Точнее ,чтобы snort поймал, если там будет что-то, а то если ловить все подряд выходит больше 4Gb в час. Я могу snoop-ом кинуть все в файл, железо кажется позволяет, но чем потом проанализировать данные? Grep тут явно не спасет о.р.д....
Доступа к свичу наверх нет. в момент отказа трафик через свич около 5-10% от максимальной, хотя нагрузка на CPU начинает немного возрастать.
Спасибо что дочитали, если есть идеи, поделитесь плиз.