Намедни настраивал сеть которая состоит из снорта, двух АРМов через этот снорт , подключенных по мосту без айпи адресов на интерфейсах снорта в режиме promisc и АРМа администрирования самой IPS через Вэб-представление.( Надеюсь напишу про настройку и впечатление о Base далее)
Столкнулся с тем, что прописав правила и настроив все предварительно см. тут после запуска команды вывода сообщений в консоль в режиме afpacket, а именно :
sudo snort -A console -q -c /etc/snort/snort.conf -i eht0
системы выводила сообщение:
Decoding Ethernet Killed
Причиной этого, как оказалось, послужило недостаточное количество оперативной памяти (OOM – out of memory).
На Ubuntu 16.04 использовалось 2 Гб оперативки. После увеличения ОЗУ вдвое, процесс перестал “килиться”
