Snort 命令介绍
虽然目前网上已经出现了 Windows 平台下的基于 snort.exe 程序的图形界面控制程序
idscenter.exe,其界面的操作行虽然好了很多,但还是不能避免的需要使用命令,所以我们
还是得来看看 Snort 的命令及其参数作用的介绍。
Snort 的命令行的通用形式为:
snort -[options]
各个参数功能如下:
-A:选择设置警报的模式为 full、fast、 unsock 和 none。full 模式是默认进报模式,它记录
标准的 alert 模式到 alert 文件中;fast 模式只记录时间戳、消息、IP 地址、端口到文件中;
unsock 是发送到 Unix socket;none 模式是关闭报警。
-a:是显示 ARP 包。
-b:以 Tcpdump 格式记录 LOG 的信息包,所有信息包都被记录为二进制形式,用这个选项
记录速度相对较快,因为它不需要把信息转化为文本的时间。
-c :使用配置文件,这个规则文件是告诉系统什么样的信息要 LOG,或者要报警,或者通
过。
-C:只用 ASCII 码来显示数据报文负载,不用十六进制。
-d:显示应用层数据。
-D:使 snort 以守护进程的形式运行,默认情况下警报将被发送到/var/log/snort.alert 文件中
去。
-e:显示并记录第二层信息包头的数据。
-F:从文件中读 BPF 过滤器(filters)。
-g :snort 初始化后使用用户组标志(group ID),这种转换使得 Snort 放弃了在初始化必须
使用 root 用户权限从而更安全。
-h :设置内网地址到,使用这个选项 snort 会用箭头的方式表示数据进出的方向。
-i :在网络接口上监听
-I :添加第一个网络接口名字到警报输出
-l :把日志信息记录到目录中去。
-L :设置二进制输出的文件名为。
-m :设置所有 snort 的输出文件的访问掩码为。
-M :发送 WinPopup 信息到包含文件中存在的工作站列表中去,这选项需要 Samba 的支持。
-n :是指定在处理个数据包后退出。
-N:关闭日志记录,但 ALERT 功能仍旧正常工作。
-o:改变规则应用到数据包上的顺序,正常情况下采用 Alert->Pass->Log order,而采用此选
项的顺序是 Pass->Alert->Log order,其中 Pass 是那些允许通过的规则,ALERT 是不允许通
过的规则,LOG 指日志记录。
-O:使用 ASCII 码输出模式时本地网 IP 地址被代替成非本地网 IP 地址。
-p:关闭混杂(Promiscuous)嗅探方式,一般用来更安全的调试网络。
-P:设置 snort 的抓包截断长度。
-r :读取 tcpdump 格式的文件。
-s:把日志警报记录到 syslog 文件,在 LINUX 中警告信息会记录在/var/log/secure,在其他
平台上将出现在/var/log/message 中。
-S :设置变量 n=v 的值,用来在命令行中定义 Snort rules 文件中的变量,如你要在 Snort rules
文件中定义变量 HOME_NET,你可以在命令行中给它预定义值。
-t:初始化后改变 snort 的根目录到目录。
-T:进入自检模式,snort 将检查所有的命令行和规则文件是否正确。
-u:初始化后改变 snort 的用户 ID 到
-v:显示 TCP/IP 数据报头信息。
-V:显示 Snort 版本并退出。
-y:在记录的数据包信息的时间戳上加上年份。
-?:显示 Snort 简要的使用说明并退出。
除了少数几个不常用的命令,大部分的命令都在这里了,掌握这些命令后,用户可以根据自
己的需要来选择使用不同的工作模式,下面我们来看看这三种工作模式是如何具体工作的