Snort学习笔记

简介: 整理:Jims of 肥肥世家 Copyright © 2004 本文遵从GNU 的自由文档许可证(Free Document License)的条款,欢迎转载、修改、散布。

整理:Jims of 肥肥世家

Copyright © 2004 本文遵从GNU 的自由文档许可证(Free Document License)的条款,欢迎转载、修改、散布。

发布时间:2004年12月11日

更新时间:2005年03月28日


Chapter 1. 开始

Snort有三种主要模式:sniffer,packet logger,network intrusion detection system。sniffer模式只是简单地从网络上抓取数据包并在终端显示出来;packet logger模式可把数据包保存在磁盘中;network intrusion detection模式是最复杂,具有高可配置性。它可使Snort根据用户定义的规则分析网络流量,并作出反应。

1.1. Sniffer Mode

首先,让我们从最基础开始,如果你只是想在屏幕上打印出TCP/IP包的头信息,可以用以下命令:

snort -v

这条命令只是显示IP和TCP/UDP/ICMP数据包的头信息,其它就没有了。如果你想显示数据包的头信息,并且想显示应用程序传输的数据,可用以下命令:

snort -vd

如果你还想显示链路层的信息,如网卡Mac地址,可用以下命令:

snort -vde

1.2. Packet Logger Mode

如果你想把数据包信息存在磁盘上,就要用Packet Logger Mode。用以下命令可使Snort自动把数据包信息存到磁盘中:

snort -vde -l log_directory

log_directory目录需先建好,否则snort会出错。当snort运行在该模式下时,它会把所有抓取的数据包按IP分类地存放到log_directory中。

可用-h指定本地网络,以使snort记录与本地网络相关的数据包。

snort -vde -l log_directory -h 192.168.1.0/24

如果你在一个高速网络中,或者你想记录数据包以备日后分析,你就可以二进制方式记录数据包,在这里不用指定-vde,因为二进制方式将记录整个包的信息。如:

snort -l log_directory -b

二进制模式把数据包存成tcpdump格式。可用tcpdmup、Ethereal和snort相看。如:

snort -dv -r snort.log

1.3. Network Intrusion Detection Mode

用以下命令开启NIDS模式:

snort -dev -l log_directory -h 192.168.1.0/24 -c snort.conf

snort.conf是规则集配置文件,为了不影响NIDS速度,我们可把-v和-e选项取消。如:

snort -d -l log_directory -h 192.168.1.0/24 -c snort.conf

log_directory目录下会生成alter日志,记录入检测的警报信息。

Appendix A. 附录

A.1. 专有名语

  • promiscuous mode,混杂模式。

A.2. 参考资料

 
目录
相关文章
|
安全 数据库
【Debian】配置aide入侵检测服务
基于debian系统。aide主要功能检测系统文件,当系统文件发生变化,如/etc/passwd文件出现差异,那么aide将会认为系统遭受入侵被增添用户
2269 0
|
监控 安全
|
关系型数据库 MySQL PHP
|
关系型数据库 MySQL PHP
|
监控 数据库 安全
|
Web App开发 关系型数据库 PHP