我有以下 3 台 PC 透過乙太網路連接到路由器:
PC1 – 192.168.1.101(Linux Ubuntu)
PC2 – 192.168.1.100(Windows)
PC3 – 192.168.1.1(Windows)
所有PC都能互相ping通。
PC1 以 IDS 模式安裝了 Suricata。它有一個簡單的 ping 規則,包括:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
我透過在 PC1 中輸入以下命令來啟動 Suricata:
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 是 PC1 中的主要乙太網路介面。
當我從 PC2 和 PC3 ping PC1 時,會觸發 ping 規則,並且對應的訊息會記錄在日誌檔案中。當我從 PC1 ping PC2 和 PC3 時也會觸發此規則。
但是,當我從 PC3 ping PC2 時,不會觸發此規則,反之亦然。 Suricata 僅偵聽 PC1 中的 eth3 介面。當我從 PC3 ping PC2 時,流量不會通過 PC1,即使所有 3 台 PC 都在同一網路上。
是否可以配置 Suricata 來監控整個網絡,而不僅僅是安裝它的 PC?
答案1
乙太網路交換器不會將所有流量廣播到所有連接埠。
在正常操作條件下,第三個交換器連接埠上的偵聽主機不會看到兩個單獨交換器連接埠上的兩個主機之間的單播交換。
具有 VLAN 支援等企業功能的更昂貴的託管交換器通常具有連接埠鏡像功能,可作為竊聽實用程序,將任何一個連接埠上發送或接收的所有流量複製到第二個指定連接埠。根據交換器的品牌和型號,此功能可能會有一些注意事項,可能會降低指定連接埠的功能,即:在鏡像處於活動狀態時只能接收流量,而不能傳送流量。
除了最強大、最昂貴的交換器之外,其他所有交換器都可能需要注意的是,一次只能鏡像一個連接埠。對於 3 節點交換網絡,這不是問題,就好像一個或另一個連接埠被鏡像一樣,未受監控連接埠上的主機可以與之通訊的任一目標都受到監控。然而,4 節點網路會使兩個連接埠不受監控。
在網際網路閘道的情況下,將在路由器和交換器之間開啟連接埠鏡像,因此將擷取所有來自網際網路的流量,但不是所有 LAN 流量。
可能存在可以將所有 VLAN 或所有背板流量鏡像到指定連接埠的交換機,但我不熟悉此類功能。
答案2
看看 Netgear pro 交換機,例如:
GS105Ev2 – 5 埠千兆位元 ProSAFE Plus 交換機
它們非常便宜並且支援連接埠鏡像設定。將交換器放置在路由器和網路的其餘部分之間,以實現互聯網可見性。