Snort 的一种安装方法称为串联模式。在此配置中,您的 Snort 传感器将成为流量的阻塞点,就像传统的路由器或防火墙一样。所有数据包都将在外部接口上接收,通过 snort 应用程序,然后转发到内部接口。如果正确完成,它将对流量透明,并且只不过是一座桥梁。它还不需要对您尝试保护的服务器进行修改。所有流量都将流经传感器,因为它不能去其他任何地方。
从这里您可以决定是在 IDS 还是 IDP 模式下运行 snort。IDS 实施起来并不那么可怕,因为会触发警报并记录不良流量,但数据包仍会通过。IDP 模式将分析数据包,如果配置如此,则会在触发警报时丢弃数据包。
在任何情况下,您都必须小心配置哪些规则,并且您的传感器大小合适。例如,如果 snortd 进程过载并且无法处理数据包,则它不会从另一端发送出去。snort 达到 100% cpu 使用率或内存是非常简单的。
| 归档时间: |
|
| 查看次数: |
4408 次 |
| 最近记录: |