OSSIM中网卡设置注意事项

《Unix/Linux网络日志分析与流量监控》一书中告诉大家如何通过Alienvault-center 方式修改，另外有关OSSIM中设置网卡过程中还需要注意3个问题：

1）为什么手工修改OSSIM主机地址，eth0网卡IP后其它服务启动错误？

当OSSIM Server 安装完毕，通过命令行或配置文件修改命令的方式是错误的，

因为只修改网卡的IP地址，但其它进程依然在以前的地址上监听，所以系统就会报错。

例如，在安装服务器是配置IP为10.0.2.20，安装完毕发现IP不合适，又手工用ipconfig修改了eth0 ip地址，但是用是发现出现，Error!Unable to launch remote network scan: Can't connect with frameworkd (10.0.2.20:40003)报错，就属于这种原因。

2）.混杂模式的网卡需要设置静态IP地址吗？

首先需要知道网卡处于混杂模式（Promiscuous Mode）代表什么含义。混杂模式（Promiscuous Mode）是指一台机器能够接收所有经过它的数据流，而不论其目的地址是否是它，但到了交换机的时代，就出现了新的问题，当拿到一台交换机，插上网线的这个端口，默认情况下并不能收集到所有的数据。这时，就算将网卡设置为混杂模式也无法监听到所有数据包（接到的只是给本身IP的数据和广播数据）。

那么在交换网络中实现数据监听的方式之一是设置交换机的SPAN。再回到我们的问题上来，给混杂模式的网卡设置IP就如同画蛇添足。

查看网卡是否支持混杂(promisc)模式

# ifconfig eth0

设置支持promisc

# ifconfig eth0 promisc

正常工作的网卡的正常工作模式为MULTICAST，混杂模式为：PROMISC MULTICAST

取消网卡混扎模式

#ifconfig eth0 -promisc

3）.完成OSSIM系统安装部署试验，最少需要几块网卡？

对于这个问题我们需要有上面解答的基础，在一块网卡的情况下，而且是流量不大（小于50%标准容量），完全可以模拟所有ossim试验，这款网卡指定IP是为了便于管理和收集日志，设置为混杂模式是为了监听网络数据包流量。在条件允许的情况下建议管理口和监听口分别由不同的网卡担任。