Copyright © 2004 本文遵从GNU 的自由文档许可证(Free Document License)的条款,欢迎转载、修改、散布。
发布时间:2004年12月11日
更新时间:2005年03月28日
Table of Contents
Snort有三种主要模式:sniffer,packet logger,network intrusion detection system。sniffer模式只是简单地从网络上抓取数据包并在终端显示出来;packet logger模式可把数据包保存在磁盘中;network intrusion detection模式是最复杂,具有高可配置性。它可使Snort根据用户定义的规则分析网络流量,并作出反应。
首先,让我们从最基础开始,如果你只是想在屏幕上打印出TCP/IP包的头信息,可以用以下命令:
snort -v
这条命令只是显示IP和TCP/UDP/ICMP数据包的头信息,其它就没有了。如果你想显示数据包的头信息,并且想显示应用程序传输的数据,可用以下命令:
snort -vd
如果你还想显示链路层的信息,如网卡Mac地址,可用以下命令:
snort -vde
如果你想把数据包信息存在磁盘上,就要用Packet Logger Mode。用以下命令可使Snort自动把数据包信息存到磁盘中:
snort -vde -l log_directory
log_directory目录需先建好,否则snort会出错。当snort运行在该模式下时,它会把所有抓取的数据包按IP分类地存放到log_directory中。
可用-h指定本地网络,以使snort记录与本地网络相关的数据包。
snort -vde -l log_directory -h 192.168.1.0/24
如果你在一个高速网络中,或者你想记录数据包以备日后分析,你就可以二进制方式记录数据包,在这里不用指定-vde,因为二进制方式将记录整个包的信息。如:
snort -l log_directory -b
二进制模式把数据包存成tcpdump格式。可用tcpdmup、Ethereal和snort相看。如:
snort -dv -r snort.log