Организация съема трафика с Linux сервера для последующего анализа

[Halt]

Для анализа можно использовать систему обнаружения вторжений, например Snorm

Опечаточка в последнем слове :) А так статья занятная, спасибо :)

[Jekel]

"… систему обнаружения вторжений, например Snorm."
исправьте пожалуйста — Snort.

[Halt]

Да, было бы очень хорошо, если бы вы описали что с этим трафиком можно делать потом :) То есть, более детально подойти к вопросам собственно анализа трафика.

[JiMButton]

поддерживаю, очень хотелось бы почитать статью про правильную настройку например того — же snort

[m0sia]

хорошо. соберусь и напишу, как его можно использовать в реальной жизни.

[sp1r1t13]

Про snort очень много написано Здесь и Здесь. В настройке он очень легок и удобен.

[tshaoni]

Анализировать содержимое пакетов при большой сетевой активности — очень ресурсоёмкая задача.
Если достаточно заголовков пакетов (для анализа, либо статистики), то предпочтительней использовать netflow, либо ULOG… да вариантов масса.

[m0sia]

Visio, microsoft office живет в virtual box. Openoffice draw не очень удобен и клипарта в нем нет.

[flashvoid]

#iptables -t mangle -A FORWARD -j ROUTE --tee --gw 172.20.1.2

172.16.1.2?

[m0sia]

опечатался. конечно 172.16.1.2

[konki]

>Модуль ядра ipt_ROUTE.c был выброшен из patch-o-matic и не поддерживается, поэтому не собирается с новыми ядрами >=2.6.24.

выкинули и не представили официальной замены? что побудило разработчиков на такой шаг?

[m0sia]

Дело в том, что этот модуль считается dirty hack'ом. Все его возможности, кроме --tee(копирование пакетов) реализуются при помощи iproute2. Считается, что iptables маршрутизацией не должен заниматься, для этого есть iproute2 со своими таблицами.