我有以下 3 台 PC 透過乙太網路連接到路由器:
PC1 – 192.168.1.101(Linux Ubuntu)
PC2 – 192.168.1.100(Windows)
PC3 – 192.168.1.1(Windows)
所有PC都能互相ping通。
PC1 以 IDS 模式安裝了 Suricata。它有一個簡單的 ping 規則,包括:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
我透過在 PC1 中輸入以下命令來啟動 Suricata:
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 是 PC1 中的主要乙太網路介面:
當我從 PC2 和 PC3 ping PC1 時,會觸發 ping 規則,並且對應的訊息會記錄在日誌檔案中。當我從 PC1 ping PC2 和 PC3 時也會觸發此規則。
但是,當我從 PC3 ping PC2 時,不會觸發此規則,反之亦然。 Suricata 僅偵聽 PC1 中的 eth3 介面。當我從 PC3 ping PC2 時,流量不會通過 PC1,即使所有 3 台 PC 都在同一網路上。
是否可以配置 Suricata 來監控整個網絡,而不僅僅是安裝它的 PC?