par Doramaland_acits » 21 avr. 2026, 21:46
---
Bonjour à tous,
Je débute actuellement avec Suricata sur une machine virtuelle sous Kali Linux et je souhaite l’utiliser comme IDS/IPS capable de surveiller tout le trafic de mon réseau local, y compris les communications entre les machines physiques et virtuelles. Jusqu’à présent, j’ai testé Suricata en mode Host‑Only et il ne capture que le trafic qui passe par l’interface virtuelle de la VM, ce qui limite grandement son efficacité pour détecter des attaques ou des comportements anormaux sur le réseau complet.
Voici ce que j’ai déjà essayé :
1. Interface réseau – J’ai indiqué `-i eth0` (ou `enp0s3` selon la distribution) dans le fichier de configuration, mais Suricata ne semble pas recevoir les paquets provenant des autres hôtes.
2. Mode promiscuité – J’ai activé le mode promiscuité sur l’interface avec `ifconfig eth0 promisc`, mais le problème persiste.
3. Sniffing en mode bridge – J’ai créé un bridge entre l’interface physique de la machine hôte et la VM, puis j’ai branché Suricata dessus, mais le bridge ne transmet pas le trafic vers la VM.
4. Utilisation de `tcpdump` – En lançant `tcpdump -i eth0 -w capture.pcap` je constate que le trafic est bien capturé, ce qui indique que le problème vient probablement de la configuration de Suricata elle‑même.
Je cherche donc à savoir :
- Quelle est la configuration exacte (dans `suricata.yaml` ou via la ligne de commande) à appliquer pour que Suricata écoute tout le trafic du réseau (y compris les communications entre machines physiques) ?
- Faut‑il placer Suricata sur un port mirroring d’un switch, ou existe‑t‑il une solution logicielle (ex. : `iptables` → NFQUEUE, `ebtables`, ou utilisation d’un tap virtuel) qui permette de rediriger le trafic vers Suricata sans matériel additionnel ?
- Quelles sont les meilleures pratiques pour éviter les pertes de paquets (buffer overflow) lorsqu’on utilise Suricata en mode de capture « full‑wire » ?
- Enfin, avez‑vous des recommandations de règles ou de tuning (détection de flux, `af-packet`, `pfring`, etc.) qui facilitent la surveillance d’un réseau complet depuis une VM ?
Merci d’avance pour vos conseils, vos retours d’expérience et éventuellement des exemples de configuration fonctionnelle. Toute aide (scripts, captures d’écran, liens vers la documentation) sera la bienvenue.
Топ романтических дорам, заставят вас растаять! Оценивайте (no spam plz)
---
Bonjour à tous,
Je débute actuellement avec Suricata sur une machine virtuelle sous Kali Linux et je souhaite l’utiliser comme IDS/IPS capable de surveiller tout le trafic de mon réseau local, y compris les communications entre les machines physiques et virtuelles. Jusqu’à présent, j’ai testé Suricata en mode Host‑Only et il ne capture que le trafic qui passe par l’interface virtuelle de la VM, ce qui limite grandement son efficacité pour détecter des attaques ou des comportements anormaux sur le réseau complet.
Voici ce que j’ai déjà essayé :
1. Interface réseau – J’ai indiqué `-i eth0` (ou `enp0s3` selon la distribution) dans le fichier de configuration, mais Suricata ne semble pas recevoir les paquets provenant des autres hôtes.
2. Mode promiscuité – J’ai activé le mode promiscuité sur l’interface avec `ifconfig eth0 promisc`, mais le problème persiste.
3. Sniffing en mode bridge – J’ai créé un bridge entre l’interface physique de la machine hôte et la VM, puis j’ai branché Suricata dessus, mais le bridge ne transmet pas le trafic vers la VM.
4. Utilisation de `tcpdump` – En lançant `tcpdump -i eth0 -w capture.pcap` je constate que le trafic est bien capturé, ce qui indique que le problème vient probablement de la configuration de Suricata elle‑même.
Je cherche donc à savoir :
- Quelle est la configuration exacte (dans `suricata.yaml` ou via la ligne de commande) à appliquer pour que Suricata écoute tout le trafic du réseau (y compris les communications entre machines physiques) ?
- Faut‑il placer Suricata sur un port mirroring d’un switch, ou existe‑t‑il une solution logicielle (ex. : `iptables` → NFQUEUE, `ebtables`, ou utilisation d’un tap virtuel) qui permette de rediriger le trafic vers Suricata sans matériel additionnel ?
- Quelles sont les meilleures pratiques pour éviter les pertes de paquets (buffer overflow) lorsqu’on utilise Suricata en mode de capture « full‑wire » ?
- Enfin, avez‑vous des recommandations de règles ou de tuning (détection de flux, `af-packet`, `pfring`, etc.) qui facilitent la surveillance d’un réseau complet depuis une VM ?
Merci d’avance pour vos conseils, vos retours d’expérience et éventuellement des exemples de configuration fonctionnelle. Toute aide (scripts, captures d’écran, liens vers la documentation) sera la bienvenue.
Топ романтических дорам, заставят вас растаять! Оценивайте (no spam plz)