次の 3 台の PC がイーサネット経由でルーターに接続されています。
PC1 – 192.168.1.101 (Linux Ubuntu)
PC2 – 192.168.1.100 (Windows)
PC3 – 192.168.1.1 (Windows)
すべての PC は相互に ping できます。
PC1 には Suricata が IDS モードでインストールされています。これには簡単な ping ルールが含まれています:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
PC1 で次のコマンドを入力して Suricata を起動します。
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 は PC1 のメイン イーサネット インターフェイスです。
PC2 および PC3 から PC1 に ping を実行すると、ping ルールがトリガーされ、適切なメッセージがログ ファイルに記録されます。このルールは、PC1 から PC2 および PC3 に ping を実行した場合にもトリガーされます。
ただし、PC3 から PC2 に ping を実行した場合、またその逆の場合、このルールはトリガーされません。Suricata は PC1 の eth3 インターフェイスのみをリッスンします。3 台の PC がすべて同じネットワーク上にあるにもかかわらず、PC3 から PC2 に ping を実行した場合、トラフィックは PC1 を通過しません。
Suricata をインストールした PC だけでなく、ネットワーク全体を監視するように構成することは可能ですか?