Konfigurieren der virtuellen Netzwerkschnittstelle als Sniffing-Schnittstelle

547
synthesis

Ich habe ein Snort IDS, auf dem Ubuntu Server 16.04 mit einer physischen Ethernet-Schnittstelle (eno1) ausgeführt wird. Ich habe zwei virtuelle Netzwerkschnittstellen mit der Schnittstelle eno1 konfiguriert: eno1: 0 für die Sniffing-Schnittstelle und eno1: 1 für die Verwaltungsschnittstelle, die mit einer statischen IP-Adresse konfiguriert ist. Mein Problem ist, dass nur die Verwaltungsschnittstelle (eno1: 1) aktiv ist, während die Schnüffelschnittstelle (eno1: 0) wie in der folgenden Ausgabe von ifconfig angegeben ist:

eno1 Link encap:Ethernet HWaddr c4:34:6b:61:d1:b3 inet6 addr: fe80::c634:6bff:ac61:d1b3/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:28019 errors:0 dropped:0 overruns:0 frame:0 TX packets:1046 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:3471780 (3.4 MB) TX bytes:116452 (116.4 KB) Interrupt:20 Memory:f7c00000-f7c20000  eno1:1 Link encap:Ethernet HWaddr c4:34:6b:61:d1:b3 inet addr:192.168.1.154 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:20 Memory:f7c00000-f7c20000  lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:162 errors:0 dropped:0 overruns:0 frame:0 TX packets:162 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:12020 (12.0 KB) TX bytes:12020 (12.0 KB) 

Im Folgenden sind die Einstellungen für die Schnüffel- und Verwaltungsschnittstellen in / etc / network / interfaces aufgeführt:

# sniffer interface auto eno1:0  iface eno1:0 inet manual up ifconfig $IFACE 0.0.0.0 up up ip link set $IFACE promisc on down ip link set $IFACE promisc off down ifconfig $IFACE down  post-up ethtool -K eno1:0 gro off post-up ethtool -K eno1:0 lro off  # management interface auto eno1:1  iface eno1:1 inet static address 192.168.1.154 netmask 255.255.255.0 broadcast 192.168.1.255 gateway 192.168.1.2 dns-nameservers 1.1.1.1 

Die Konfigurationseinstellungen für das Sniffing-Interface wurden von diesem Link aus verwendet, das Sniffing-Interface steigt jedoch nicht an. Was könnte das Problem sein?

0

1 Antwort auf die Frage

0
dirkt

Auf modernen Linux, eno1:0und eno1:1ist nur ein Artefakt, das verwendet wurde mehrere IP - Adressen auf eine einzige Schnittstelle zuweisen eno1. Das neuere Dienstprogramm ipführt dies direkt aus. Das sind also nicht wirklich "virtuelle Schnittstellen".

Insbesondere können Sie einen von ihnen nicht in den Promiscuous-Modus versetzen, während der andere normal ist.

Gibt es etwas, was Sie daran hindert, es einfach zu benutzen eno1, es normal zu konfigurieren und es einfach snortin den Promiscuous-Modus zu setzen?

In Bezug auf nur die Verwendung von eno1 ist dies die aktuelle Einstellung und sie funktioniert. Grund für die Verwendung von zwei virtuellen Schnittstellen war das Bestreben, die Verwaltungsschnittstelle von der Sniffing-Schnittstelle zu trennen. synthesis vor 6 Jahren 0
Meines Wissens ist es nicht möglich, eine einzige physische Schnittstelle auf diese Weise in virtuelle Schnittstellen aufzuteilen. Entweder ist die Schnittstelle promiskuitiv oder nicht. (Sie könnten zwar beispielsweise ein MACVLAN verwenden, aber dann eine andere MAC-Adresse haben. Sollte der verwendete Prozess entscheiden, Pakete zu senden, anstatt sie nur zu empfangen, handelt es sich eher um zwei verschiedene Schnittstellen in demselben LAN-Segment und nicht wie eine normale Schnittstelle und eine Schnüffelschnittstelle). Aber ich bin mir sicher, dass mich jemand korrigiert, wenn ich falsch liege. :-) dirkt vor 6 Jahren 0