返回
Snort+中文手册

Snort+中文手册

ID:40775239

大小:136.50 KB

页数:34页

时间:2019-08-07

Snort+中文手册_第1页
Snort+中文手册_第2页
Snort+中文手册_第3页
Snort+中文手册_第4页
Snort+中文手册_第5页
资源描述:

《Snort+中文手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Snort中文手册摘要snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。(2003-12-1116:39:12)Snort用户手册 第一章snort简介   snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包

2、并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。嗅探器   所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。首先,我们从最基本的用法入手。如果你只要把TCP/IP包头信息打印在屏幕上,只需要输入下面的命令:  ./snort-v   使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。如果你要看到应用层的数据

3、,可以使用:     ./snort-vd   这条命令使snort在输出包头信息的同时显示包的数据信息。如果你还要显示数据链路层的信息,就使用下面的命令:  ./snort-vde   注意这些选项开关还可以分开写或者任意结合在一块。例如:下面的命令就和上面最后的一条命令等价:  ./snort-d-v–e数据包记录器   如果要把所有的包记录到硬盘上,你需要指定一个日志目录,snort就会自动记录数据包:     ./snort-dev-l./log   当然,./log目录必须存在,否则snort就会

4、报告错误信息并退出。当snort在这种模式下运行,它会记录所有看到的包将其放到一个目录中,这个目录以数据包目的主机的IP地址命名,例如:192.168.10.1  如果你只指定了-l命令开关,而没有设置目录名,snort有时会使用远程主机的IP地址作为目录,有时会使用本地主机IP地址作为目录名。为了只对本地网络进行日志,你需要给出本地网络:  ./snort-dev-l./log-h192.168.1.0/24   这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应

5、用层的数据记录到目录./log中。   如果你的网络速度很快,或者你想使日志更加紧凑以便以后的分析,那么应该使用二进制的日志文件格式。所谓的二进制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包记录到一个单一的二进制文件中:  ./snort-l./log-b   注意此处的命令行和上面的有很大的不同。我们勿需指定本地网络,因为所有的东西都被记录到一个单一的文件。你也不必冗余模式或者使用-d、-e功能选项,因为数据包中的所有内容都会被记录到日志文件中。   你可以使用任何支持tcp

6、dump二进制格式的嗅探器程序从这个文件中读出数据包,例如:tcpdump或者Ethereal。使用-r功能开关,也能使snort读出包的数据。snort在所有运行模式下都能够处理tcpdump格式的文件。例如:如果你想在嗅探器模式下把一个tcpdump格式的二进制文件中的包打印到屏幕上,可以输入下面的命令:     ./snort-dv-rpacket.log   在日志包和入侵检测模式下,通过BPF(BSDPacketFilter)接口,你可以使用许多方式维护日志文件中的数据。例如,你只想从日志文件中提

7、取ICMP包,只需要输入下面的命令行:     ./snort-dvrpacket.logicmp网络入侵检测系统   snort最重要的用途还是作为网络入侵检测系统(NIDS),使用下面命令行可以启动这种模式:     ./snort-dev-l./log-h192.168.1.0/24-csnort.conf   snort.conf是规则集文件。snort会对每个包和规则集进行匹配,发现这样的包就采取相应的行动。如果你不指定输出目录,snort就输出到/var/log/snort目录。   注意:如果

8、你想长期使用snort作为自己的入侵检测系统,最好不要使用-v选项。因为使用这个选项,使snort向屏幕上输出一些信息,会大大降低snort的处理速度,从而在向显示器输出的过程中丢弃一些包。   此外,在绝大多数情况下,也没有必要记录数据链路层的包头,所以-e选项也可以不用:     ./snort-d-h192.168.1.0/24-l./log-csnort.conf   这是使用snort作为网络入侵检测系

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。