0

Suricate如何配置全网抓包?我已经配置了 Suricate,但它只捕获发送到 Suricata 安装主机的数据包。我希望 Suricata 捕获整个网络数据包。

我有两个不同的网络,例如数据和内部,其中 Suricata 放置在内部网络中。我已经将我的交换机配置为监控几个端口并指定到 Suricata 服务器的第二个端口,但我仍然没有看到任何变化。

可以在这个问题上提供帮助吗?

4

1 回答 1

1

接口应处于混杂模式 - 以查看所有流量。

(HOWTO 取决于你的操作系统)

ifconfig eth1 向上

ifconfig eth1 promisc

并检查在 $HOME_NET 下的suricata yaml中定义了什么,以及设置了哪些规则文件,我建议看一眼那里以更好地了解为什么触发某些规则。

于 2017-11-19T12:40:01.787 回答