Snort 命令介绍 虽然目前网上已经出现了 Windows 平台下的基于 snort.exe 程序的图形界面控制程序 idscenter.exe，其界面的操作行虽然好了很多，但还是不能避免的需要使用命令，所以我们 还是得来看看 Snort 的命令及其参数作用的介绍。 Snort 的命令行的通用形式为： snort -[options] 各个参数功能如下： -A：选择设置警报的模式为 full、fast、 unsock 和 none。full 模式是默认进报模式，它记录 标准的 alert 模式到 alert 文件中；fast 模式只记录时间戳、消息、IP 地址、端口到文件中； unsock 是发送到 Unix socket；none 模式是关闭报警。 -a：是显示 ARP 包。 -b：以 Tcpdump 格式记录 LOG 的信息包，所有信息包都被记录为二进制形式，用这个选项 记录速度相对较快，因为它不需要把信息转化为文本的时间。 -c ：使用配置文件，这个规则文件是告诉系统什么样的信息要 LOG，或者要报警，或者通 过。 -C：只用 ASCII 码来显示数据报文负载，不用十六进制。 -d：显示应用层数据。 -D：使 snort 以守护进程的形式运行，默认情况下警报将被发送到/var/log/snort.alert 文件中 去。 -e：显示并记录第二层信息包头的数据。 -F：从文件中读 BPF 过滤器（filters）。 -g ：snort 初始化后使用用户组标志（group ID），这种转换使得 Snort 放弃了在初始化必须 使用 root 用户权限从而更安全。 -h ：设置内网地址到，使用这个选项 snort 会用箭头的方式表示数据进出的方向。 -i ：在网络接口上监听 -I ：添加第一个网络接口名字到警报输出 -l ：把日志信息记录到目录中去。 -L ：设置二进制输出的文件名为。 -m ：设置所有 snort 的输出文件的访问掩码为。 -M ：发送 WinPopup 信息到包含文件中存在的工作站列表中去，这选项需要 Samba 的支持。 -n ：是指定在处理个数据包后退出。 -N：关闭日志记录，但 ALERT 功能仍旧正常工作。 -o：改变规则应用到数据包上的顺序，正常情况下采用 Alert->Pass->Log order，而采用此选 项的顺序是 Pass->Alert->Log order，其中 Pass 是那些允许通过的规则，ALERT 是不允许通 过的规则，LOG 指日志记录。 -O：使用 ASCII 码输出模式时本地网 IP 地址被代替成非本地网 IP 地址。 -p：关闭混杂（Promiscuous）嗅探方式，一般用来更安全的调试网络。 -P：设置 snort 的抓包截断长度。 -r ：读取 tcpdump 格式的文件。 -s：把日志警报记录到 syslog 文件，在 LINUX 中警告信息会记录在/var/log/secure，在其他 平台上将出现在/var/log/message 中。 -S ：设置变量 n=v 的值，用来在命令行中定义 Snort rules 文件中的变量，如你要在 Snort rules 文件中定义变量 HOME_NET，你可以在命令行中给它预定义值。 

-t：初始化后改变 snort 的根目录到目录。 -T：进入自检模式，snort 将检查所有的命令行和规则文件是否正确。 -u：初始化后改变 snort 的用户 ID 到 -v：显示 TCP/IP 数据报头信息。 -V：显示 Snort 版本并退出。 -y：在记录的数据包信息的时间戳上加上年份。 -?：显示 Snort 简要的使用说明并退出。 除了少数几个不常用的命令，大部分的命令都在这里了，掌握这些命令后，用户可以根据自 己的需要来选择使用不同的工作模式，下面我们来看看这三种工作模式是如何具体工作的