2024年4月26日发(作者:)

Snort简明使用手册

2007-03-22 22:28

Snort2.6——USAGE(中文)

1.0 开始使用snort

Snort不是很难使用,但是也存在着很多的命令行选项需要掌握,并且它们中许多很

多时候并不能一起使用。这个文件的目的就是使新人能够更简单的使用snort。

在我们进行下一步之前,有一些关于snort的基本概念需要了解。snort能够配置成

三种模式运行:嗅探器(sniffer),包记录器(packet logger)和网络入侵检测系统(NIDS)。嗅

探模式(sniffer mode)简单的读取网络中的数据包,并以连续的数据流显示在控制台上。

包记录模式(packet logger mode)把捕获的数据包记录在磁盘上。网络入侵检测模式

(NIDS mode)是最复杂的、有机的配置,在这个模式下,snort分析网络中的数据,并通

过使用用户自定义的规则集进行模式匹配,并根据匹配的结果执行多种操作。

2.0 嗅探模式(sniffer mode)

首先,让我们从基础开始。如果你只是想要在屏幕上打印出TCP/IP的包头信息(嗅探

模式),使用下面的命令:

./snort –v

使用这个命令运行snort,将只显示IP和TCP/UDP/ICMP头信息,而不显示任何其

它信息。如果你想要查看传输的有效负载信息,可以使用如下命令:

./snort –vd

这条命令在打印协议头信息的同时也打印相应的包数据。如果你想要一个更详细的现

实,可以使用下面的命令来打印出数据链路层头信息:

./snort –vde

(注:这些选项参数能够分开或者拆散成任和结合的方式。比如上一个命令也可以写

做这种方式:

./snort -d -v –e

来达到同样的效果)

3.0 包记录模式(PACKET LOGGER MODE)

好的,上面的命令运行的都相当的好。但是如果你想要记录包到磁盘上,你需要指定

一个记录目录,然后snort将自动的进入包记录模式:

./snort -dev -l ./log

当然,这里假设你在当前目录下有一个叫做“log”的目录。如果没有这个目录,snort

将退出并返回错误信息。当snort以这种模式运行,它收集所有捕获的数据包,并根据数