OSSIM中網(wǎng)卡設(shè)置注意事項(xiàng)

 OSSIM中網(wǎng)卡設(shè)置注意事項(xiàng)

《Unix/Linux網(wǎng)絡(luò)日志分析與流量監(jiān)控》一書中告訴大家如何通過(guò)Alienvault-center 方式修改，另外有關(guān)OSSIM中設(shè)置網(wǎng)卡過(guò)程中還需要注意3個(gè)問(wèn)題：

1）為什么手工修改OSSIM主機(jī)地址，eth0網(wǎng)卡IP后其它服務(wù)啟動(dòng)錯(cuò)誤？

當(dāng)OSSIM Server 安裝完畢，通過(guò)命令行或配置文件修改命令的方式是錯(cuò)誤的，

因?yàn)橹恍薷木W(wǎng)卡的IP地址，但其它進(jìn)程依然在以前的地址上監(jiān)聽，所以系統(tǒng)就會(huì)報(bào)錯(cuò)。

例如，在安裝服務(wù)器是配置IP為10.0.2.20，安裝完畢發(fā)現(xiàn)IP不合適，又手工用ipconfig修改了eth0 ip地址，但是用是發(fā)現(xiàn)出現(xiàn)，Error!Unable to launch remote network scan: Can't connect with frameworkd (10.0.2.20:40003)報(bào)錯(cuò)，就屬于這種原因。

2）.混雜模式的網(wǎng)卡需要設(shè)置靜態(tài)IP地址嗎？

首先需要知道網(wǎng)卡處于混雜模式（Promiscuous Mode）代表什么含義?；祀s模式（Promiscuous Mode）是指一臺(tái)機(jī)器能夠接收所有經(jīng)過(guò)它的數(shù)據(jù)流，而不論其目的地址是否是它，但到了交換機(jī)的時(shí)代，就出現(xiàn)了新的問(wèn)題，當(dāng)拿到一臺(tái)交換機(jī)，插上網(wǎng)線的這個(gè)端口，默認(rèn)情況下并不能收集到所有的數(shù)據(jù)。這時(shí)，就算將網(wǎng)卡設(shè)置為混雜模式也無(wú)法監(jiān)聽到所有數(shù)據(jù)包（接到的只是給本身IP的數(shù)據(jù)和廣播數(shù)據(jù)）。

那么在交換網(wǎng)絡(luò)中實(shí)現(xiàn)數(shù)據(jù)監(jiān)聽的方式之一是設(shè)置交換機(jī)的SPAN。再回到我們的問(wèn)題上來(lái)，給混雜模式的網(wǎng)卡設(shè)置IP就如同畫蛇添足。

查看網(wǎng)卡是否支持混雜(promisc)模式

# ifconfig eth0

設(shè)置支持promisc

# ifconfig eth0 promisc

正常工作的網(wǎng)卡的正常工作模式為MULTICAST，混雜模式為：PROMISC MULTICAST

取消網(wǎng)卡混扎模式

#ifconfig eth0 -promisc

3）.完成OSSIM系統(tǒng)安裝部署試驗(yàn)，最少需要幾塊網(wǎng)卡？

對(duì)于這個(gè)問(wèn)題我們需要有上面解答的基礎(chǔ)，在一塊網(wǎng)卡的情況下，而且是流量不大（小于50%標(biāo)準(zhǔn)容量），完全可以模擬所有ossim試驗(yàn)，這款網(wǎng)卡指定IP是為了便于管理和收集日志，設(shè)置為混雜模式是為了監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包流量。在條件允許的情況下建議管理口和監(jiān)聽口分別由不同的網(wǎng)卡擔(dān)任。