2.2.9提高性能
如果是监控10/100M的网络还行,如果流量过大就需要提高snort的监控性能,目前最经济的方法是,在双网卡上运行Snort程序,可以配置Snort来侦听多个网卡,问题是Snort每个命令行选项(-i)只接受一个网卡。有种在多种网卡上运行Snort的方法:
Ø 为每个网卡运行一个独立的Snort进程;
Ø 通过绑定Linux内核的特征将所有的网卡绑定在一起。
用Snort监控多个网卡时选择哪种方法取决于你的环境和优先级等多种因素。运行多个Snort进程会增大工作量,并浪费大量的无法接受的处理器时间周期。如果你有可用的资源来运行两个或多个Snort进程,那么你应该考虑一下数据管理问题。假设所有的Snort实例以同样的方式配置,那么同样的攻击会被报告多次。这会令人侵检测系统管理员头疼,尤其是启用时报警的时候。当你面对不同的网卡有不同的入侵检测需求时,为每个网卡分配单个Snort程是最理想的。如果你为每个网卡都分配了一个独立的Snort进程,那么你就为每个网卡创建一个类似虚拟的传感器。在一个机器上架设几个“传感器”,你就可以为每个独立的Snort进程载入不同的配置、规则和输出插件。这最适合于独立的Snort进程。另一方面,如果你不能这样、或者不想为每个网卡启用额外的Snort进程,你可以将两个网卡绑定在一起。这样当你启用Snort时,就能用 -i命令选项指定个已被绑定的网卡(如bond0)。
为了实现这个目的,请编辑/etc/modules.conf,加入如下行:
alias bond0 bonding
现在,每次重启机器,你都需要在将IP地址信息分配给网卡之后输入下而的侖今桌渐活绑定的网卡:
ifconfig bondup
ifenslave bond0 eth0
ifenflave bond0 eth1
注意,你可将这些命令放在一个脚本里,在系统启动时运行该脚本。当运行Snort时,可以按如下方式使用的bond0网卡:
snort < options> -i bond0
