이더넷을 통해 라우터에 연결된 다음 PC 3대가 있습니다.
PC1 - 192.168.1.101(리눅스 우분투)
PC2 - 192.168.1.100(윈도우)
PC3 - 192.168.1.1(윈도우)
모든 PC는 서로 핑을 보낼 수 있습니다.
PC1에는 Suricata가 IDS 모드로 설치되어 있습니다. 여기에는 간단한 핑 규칙이 포함되어 있습니다.
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
PC1에 다음 명령을 입력하여 Suricata를 시작합니다.
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3은 PC1의 기본 이더넷 인터페이스입니다.
PC2와 PC3에서 PC1을 ping하면 ping 규칙이 트리거되고 해당 메시지가 로그 파일에 기록됩니다. 이 규칙은 PC1에서 PC2 및 PC3을 ping할 때도 트리거됩니다.
그러나 PC3에서 PC2를 핑하거나 그 반대로 핑할 때는 이 규칙이 트리거되지 않습니다. Suricata는 PC1의 eth3 인터페이스에서만 수신 대기합니다. PC 3대가 모두 동일한 네트워크에 있더라도 PC3에서 PC2를 핑할 때 트래픽이 PC1을 통과하지 않습니다.
Suricata가 설치된 PC뿐만 아니라 전체 네트워크를 모니터링하도록 구성할 수 있습니까?