返回
snort 安装使用截图

snort 安装使用截图

ID:34230426

大小:50.50 KB

页数:5页

时间:2019-03-04

snort 安装使用截图_第1页
snort 安装使用截图_第2页
snort 安装使用截图_第3页
snort 安装使用截图_第4页
snort 安装使用截图_第5页
资源描述:

《snort 安装使用截图》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、Snort在1998年,MartinRoesch先生用C语言开发了开放源代码(OpenSource)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(NetworkIntrusionDetection/PreventionSystem),即NIDS/NIPS.Snort符合通用公共许可(GPL——GUNGeneralPubicLicense),在网上

2、可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它.snort基于libpcap。目录简介相关条目基本指令封包记录模式基本指令入侵侦测模式主要指令  Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。  Snort最重要的用途还是作为网

3、络入侵检测系统(NIDS)。  使用简介  Snort并非复杂难以操作的软体。Snort可以三个模式进行运作:  侦测模式(SnifferMode):此模式下,Snort将在现有的网域内撷取封包,并显示在萤幕上。封包纪录模式(packetloggermode):此模式下,Snort将已撷取的封包存入储存媒体中(如硬碟)。上线模式(inlinemode):此模式下,Snort可对撷取到的封包做分析的动作,并根据一定的规则来判断是否有网路攻击行为的出现。  基本指令:侦测模式  若你想要在萤幕上显示网路封包的

4、标头档(header)内容,请使用  ./snort-v  如果想要在萤幕上显示正在传输的封包标头档内容,请使用  ./snort-vd  如果除了以上显示的内容之外,欲另外显示资料连结层(Datalinklayer)的资料的话,请使用  ./snort-vde封包记录模式  在记录封包之前,您必须先指定一个目录来储存该资料。举例而言,若您在您目前的目录下建立了一个名为log的目录,欲存纪录资料于该目录下的话,请使用  ./snort-dev-l./log  若想要以二进位码(binarycode)的方式

5、来储存封包资料的话,请使用  ./snort-l./log-b  若欲读取某已储存的封包记录档案(假设其档名为packet.log),请使用  ./snort-dvrpacket.log  若欲读取该档案中特定网路协定的资讯(假设是tcp协定),请使用  ./snort-dvrpacket.logtcp入侵侦测模式  若欲使用入侵侦测模式,请使用  ./snort-dev-l./log-h192.168.1.0/24-csnort.conf  其中snort.conf是封包的签章档案  若不需要得知资料连

6、结层的资讯,请使用  ./snort-d-h192.168.1.0/24-l./log-csnort.conf  以下是Snort在入侵侦测模式的指令选项:  -Afast快速警告模式  -Afull完整警告模式(预设)  -Aunsock将警告讯息送至UNIX的socket上,供其他装置检视  -Anone关闭警告功能  -Aconsole将警告讯息送至终端机(Console)  线上模式  封包的抓取不透过libcap,而是透过防火墙,并可告知防火墙是否让此封包通过。启用线上模式使用./snort-Q

7、d-h192.168.0.0/16-l./log-csnort.conf  防火墙的设定  *Linux  oiptables-tnat-APREROUTING-jQUEUE  编辑Snort侦测规则  以下是一种编辑侦测规则(Snortrule)的例子:  alerttcpanyany->192.168.1.0/24111  依次分为以下几个部份:  标头  标头的部份指的是此规则欲执行的动作。以上的例子为"alert",即警示。完整的标头选项列表如下:  alert产生警示  log纪录该封包  pa

8、ss忽略该封包  activate产生警示,并开启另一个动态规则  dynamic被activate指令触发后所执行的规则  drop让iptable丢弃该类型封包并记录下来  reject让iptable丢弃该类型封包,并送出TCP重新启动(TCPReset)的封包  sdrop让iptable丢弃该类型封包,但不记录  通讯协定  通讯协定指出执行该规则的协定为何。上述的例子是tcp协定。  目前snort支援四种通讯协定

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。