форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"кто-нибудь смог запустить snort на интерфейсе без IP address"
Сообщение от alex on 11-Июн-02, 07:30  (MSK)
Hi 2All! Удалось ли кому запустить snort ( http://www.snort.org ) на интерфейсе без IP адреса ( http://www.enteract.com/~robt/Docs/Howto/Sun/sniffer-trick.txt ). На любом железе, - интел, спарк или дижитал, и если да то под какой OS?? Проблем в следующем- uplink switch 100Mbit fullduplex (forced), раз в сутки, приблизительно в одно и то же время умирает, причем наглухо. не отвечает даже с консоли. Hardware problem - исключена, менялся свичь, проблема осталась. внутри сети юзеров нет, одни сервера. крутится WRRP protocol. В uplink  врезаю еще один свич , на котором делаю mirror port  на весь входящий трафик, вот его-то ВЕСь (ICMP, SNMP, ...) я и хочу поймать. Точнее ,чтобы snort поймал, если там будет что-то, а то если ловить все подряд выходит больше 4Gb в час. Я могу snoop-ом кинуть все в файл, железо кажется позволяет, но чем потом проанализировать данные? Grep тут явно не спасет о.р.д.... Доступа к свичу наверх нет. в момент отказа трафик через свич около 5-10% от максимальной, хотя нагрузка на CPU начинает немного возрастать. Спасибо что дочитали, если есть идеи, поделитесь плиз.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: кто-нибудь смог запустить snort на интерфейсе без IP add..."
Сообщение от Paul on 11-Июн-02, 09:43  (MSK)
По первому - удавалось. OC - Linux Debian 2.2.19 i386 По второму - как связан твой свитч и снорт на интерфейсе без айпи - я, честно говоря, не понял. Могу порекомендовать только, если свитч поддерживает snmp, то глядеть егойные snmp'шные алерты. По третьему - тут я вообще ничего не понял. Ну идет траффик, дак снорт достаточно умная софтина, чтобы уметь фильтровать алерты. А будет он с таким траффиком справляться или нет - зависит от железа. Как вариант уменьшения нагрузки, если один сенсор уже не справляется - физическое разделение сенсоров и разнос портов на свитче на виланы.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: кто-нибудь смог запустить snort на интерфейсе без IP add..."
	Сообщение от alex on 11-Июн-02, 16:22  (MSK)
	>По первому - удавалось. OC - Linux Debian 2.2.19 i386 > >По второму - как связан твой свитч и снорт на интерфейсе без >айпи - я, честно говоря, не понял. Могу порекомендовать только, если >свитч поддерживает snmp, то глядеть егойные snmp'шные алерты. > Switch - hardware load balancer, у него всего два порта, вход и выход, на входном порту висит около 150 виртуальных IP, выходной уходит в другой свитч с серверами. От входного порта уходит uplink к "провайдеру", доступа к его свитчу у меня нет. поэтому между ними я втыкаю еще один свитч, на котором делаю зеркальный порт, на который перенаправляю весь входящий траффик. Вот на него я  и хочу повесить снорт. Можно подробнее про Линукс, что потребовалось , что бы запустить снорт без IP? Может ссылка есть ? Спасибо.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: кто-нибудь смог запустить snort на интерфейсе без IP add..."
	Сообщение от Paul on 28-Июн-02, 13:45  (MSK)
	ifconfig eth1 up snort -i eth1 -o -X -u snort -g snort -c /etc/snort/snort.conf.eth1
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.