Mi chiedo se puoi effettivamente avere 2 (o più) porte promiscue (sniffing) su una singola macchina, per monitorare più segmenti di rete? E puoi monitorarli tutti con uno sbuffo?
Assolutamente. In particolare la modalità "promiscua" è solo un flag sullo stack di rete che passa tutti i pacchetti visti su quell'interfaccia fino al livello dell'applicazione. Usando lo snort come esempio, questo è spesso il modo in cui si monitoreranno correttamente i sistemi multi-homed. Una NIC che monitora ciascun uplink.
Usando lo snort come IDS, fai attenzione a come gestisce le specifiche dell'interfaccia. L'opzione di interfaccia accetta solo un singolo argomento, un'interfaccia specifica o any
. Il problema con any
è che farà sì che il processo ascolti le interfacce tutte , incluso il loopback. Inoltre, snort è single threaded (che dovrebbe cambiare con la versione 3.0). Consiglio vivamente di eseguire più istanze di snortd, ognuna in ascolto su una singola interfaccia. Come ciò sarà realizzato dipenderà dalla tua distribuzione. Sui sistemi RedHat modifica il file /etc/sysconfig/snort
e popola la variabile INTERFACE
. Ad esempio, se utilizzi eth1 ed eth2 per il monitoraggio, utilizzerai
INTERFACE="eth2 eth3"
Lo script init avvierà automaticamente un processo separato per ogni interfaccia elencata.
Sì, puoi
Ho avuto due schede wireless in modalità promiscua che annusano due canali diversi allo stesso tempo.