入侵检测系统Snort v2.9.1.1 官方版

< >

好玩

坑爹

应用语言：中文
应用大小ⅰ：3.1M
更新时间：2018-06-12 09:1
发行时间：
应用类型：普通
应用标签： Snort

如果说Nessus是IT安全工程师学习漏洞扫描的起点、，那么Snort就是几代IT安全人员学习入侵检测系统（IDS）知识的起点。Snort最大的价值在于有三种工作模式：嗅探器、[更多]

大小：3.1M

应用介绍

如果说Nessus是IT安全工程师学习漏洞扫描的起点，那么Snort就是几代IT安全人员学习入侵检测系统（IDS）知识的起点、。

嗅探器

所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。首先|，我们从最基本的用法入手|。如果你只要把TCP/IP包头信息打印在屏幕上，只需要输入下面的命令：

./snort -v

使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息|。如果你要看到应用层的数据|，可以使用：

　　./snort -vd

这条命令使snort在输出包头信息的同时显示包的数据信息。如果你还要显示数据链路层的信息|，就使用下面的命令：

./snort -vde

注意这些选项开关还可以分开写或者任意结合在一块|。例如：下面的命令就和上面最后的一条命令等价：

./snort -d -v –e

数据包记录器

如果要把所有的包记录到硬盘上，你需要指定一个日志目录|，snort就会自动记录数据包：

　　./snort -dev -l ./log

当然|，./log目录必须存在，否则snort就会报告错误信息并退出|。当snort在这种模式下运行|，它会记录所有看到的包将其放到一个目录中，这个目录以数据包目的主机的IP地址命名|，例如：192.168.10.1

如果你只指定了-l命令开关|，而没有设置目录名，snort有时会使用远程主机的IP地址作为目录‖，有时会使用本地主机IP地址作为目录名‖。为了只对本地网络进行日志‖，你需要给出本地网络：

./snort -dev -l ./log -h 192.168.1.0/24

这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./log中‖。

如果你的网络速度很快‖，或者你想使日志更加紧凑以便以后的分析，那么应该使用二进制的日志文件格式‖。所谓的二进制日志文件格式就是tcpdump程序使用的格式‖。使用下面的命令可以把所有的包记录到一个单一的二进制文件中：

./snort -l ./log -b

注意此处的命令行和上面的有很大的不同。我们勿需指定本地网络‖，因为所有的东西都被记录到一个单一的文件‖。你也不必冗余模式或者使用-d、-e功能选项‖，因为数据包中的所有内容都会被记录到日志文件中‖。

你可以使用任何支持tcpdump二进制格式的嗅探器程序从这个文件中读出数据包，例如： tcpdump或者Ethereal‖。使用-r功能开关‖，也能使snort读出包的数据。snort在所有运行模式下都能够处理tcpdump格式的文件‖。例如：如果你想在嗅探器模式下把一个tcpdump格式的二进制文件中的包打印到屏幕上‖，可以输入下面的命令：

　　./snort -dv -r packet.log

在日志包和入侵检测模式下，通过BPF(BSD Packet Filter)接口‖，你可以使用许多方式维护日志文件中的数据‖。例如，你只想从日志文件中提取ICMP包‖，只需要输入下面的命令行：

　　./snort -dvr packet.log icmp