在决定你的嗅叹器应用于何种操作系统后,你需要配置网络连接。理论上,你最少要有两块网络接口卡。一块用于监测并且是未编号的,即没有指定的IP地址。另一块有IP地址,通常只用于管理。
当然,根据个人喜好你可以有许多额外的接口——编号的或未编号的——只要硬件或操作系统支持。
管理接口应该具有可靠的网络连接,通常是你的局域网、专用的管理虚拟局域网或分段。你可以像配置你的操作系统或环境一样配置它。
对于未编号的接口,这样的接口没有IP地址,在不可靠或监控的分段上,我们应该添加安全层。既然没有IP地址作为目标,这些分段较难受到攻击,但并非坚不可摧。确切的说,嗅探器监控通讯。因此,嗅探器或信息包捕获程序库的漏洞就可能被利用,类似情况在过去发生过。记住,嗅探器是一个保密装置,应该被配置、加强并且注意维护。
Windows、Unix和Linux都支持未编号的接口。例如,在红帽或Linux微商分布上建立一个未编号的接口eth1,用你最喜欢的文本编辑器来创建或编辑/etc/sysconfig.network-scripts/ifcfg-eth1,那么,如下所示:
DEVICE=eth1
ONBOOT=yes
在Windows上配置未编号的接口同样容易。例如,在Windows2000下,在“网上邻居”上点击右键,选择属性。在适当的连接上点击右键。举例说明,如“本地连接2”,再次选择属性。通过检查网卡名称和/或属性(例如MAC地址)来确认工作于正确的物理接口。然后不选择所有组件,尤其是“Microsoft网络客户端”和“Internet协议”。你或许认为这种操作使网卡禁用了,事实并非如此。它在使用ipconfig /all命令时不会显示,但是用snort –W命令可以探测到。运行snort –W,注意你用于监测的接口号(比如2),然后用snort –vi 2命令测试嗅探器工作正常。如果嗅探器突然停止工作,用snort –W命令检查,因为当你更改网络设置时,Windows有时会改变接口号。
在任何情况下,在配置完未编号的接口后,确认电缆连接正确。你一定不想把管理接口连接到不可靠的分段,反之亦然。