怎样使用Snort!

怎样使用Snort!
BY XUNDI
--------------------------------------------------------------------
安装方法：
如果你安装好了libpcap后，对snort安装将是很简单，关于libpcap的安装说明，
你可以看看blackfire(
http://go.163.com/~bobdai/
的一些文章，关于WINDOWS
下的winpcap你可以看我站上的SNIFFER FOR NT上的安装说明。装好libpcap后，
你可以使用通常的命令：
1.) ./configure
2.) make
3.) make install
装好后你可以使用make clean清除一些安装时候产生的文件。
（有些系统如freebsd已经支持了libpcap，所以很轻松，不用再装了）。
而WINDOWS更简单，只要解包出来就可以了；
----------------------------------------------------------------------
参数介绍：
命令行是snort -[options]
选项：
    -A  设置的模式是full,fast,还是none;full模式是记录
    标准的alert模式到alert文件中；Fast模式只写入时间戳，messages,
    IPs,ports到文件中，None模式关闭报警。
    -a    是显示ARP包；
    -b    是把LOG的信息包记录为TCPDUMP格式，所有信息包都被记录为
        两进制形式，名字如snort-0612@1385.log，这个选项对于FAST
        记录模式比较好，因为它不需要花费包的信息转化为文本的时间。
        Snort在100Mbps网络中使用"-b"比较好。
    -c  使用配置文件,这个规则文件是告诉系统什么样的信息要LOG，
        或者要报警，或者通过。
    -C    在信息包信息使用ASCII码来显示，而不是hexdump，
    -d    解码应用层。
    -D    把snort以守护进程的方法来运行，默认情况下ALERT记录发送
        到/var/log/snort.alert文件中去。
    -e      显示并记录2个信息包头的数据。
    -F 从文件中读BPF过滤器（filters），这里的filters是标准
        的BPF格式过滤器，你可以在TCPDump里看到，你可以查看TCPDump
        的man页怎样使用这个过滤器。
    -h 设置网络地址，如一个C类IP地址192.168.0.1或者其他的，使用这个
        选项，会使用箭头的方式数据进出的方向。
    -I  使用网络接口参数
    -l  LOG信息包记录到目录中去。
    -M  发送WinPopup信息到包含文件中存在的工作站列表中去，
           这选项需要Samba的支持，wkstn文件很简单，每一行只要添加包含
           在SMB中的主机名即可。（注意不需要两个斜杠）。
    -n  是指定在处理个数据包后退出。
    -N    关闭LOG记录，但ALERT功能仍旧正常。
    -o    改变所采用的记录文件，如正常情况下采用Alert->Pass->Log order，
        而采用此选项是这样的顺序：Pass->Alert->Log order，其中Pass

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有