Linux监听网络的功能的介绍

       如何使监听的数据包从物理上进入Snort系统一直是一个不易解决的问题，如果使用的是网络集线器,将其接入到Snort监听商品所在的以太网卡即可，但是,目前网络集线器仅仅在数据流量不多的小规模网络中使用,真正的问题在于交换网络，如何监听交换网络也是Snort官方资料中常见问题之一。 

       问题的签字取决于使用的交换机的各类,Snort系统的性能以及预算的大小,如果扔有一个可控制的交换机，通常可以将这个交换机设置为镜像模式,而这个端口就可以作为Snort的监听接口，这种配置在Cisco交换机上被称为SPAN。其他交换机厂商称为"端口镜像"或者"进程同步"，在一些Cisco交换机上，也可以使用一种类似的模式称为VACL，在一个繁忙的网络上使用这种模式可能会引起一些问题，因为它会大大增加交换机CPU的负担,从而影响交换机的性能。而且当交换机上有多条调整连接接入时，流经VLAN的总流量极有可能超过1GB，在这种情况下,镜像商品不可能将所有数据发送到Snort系统中，如果网络使用多个VLAN，这种问题可能更为严峻，因为要为每个VLAN设置镜像端口。