庞大资源库的计算机教程网站!
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]
首页 操作系统 程序设计 图形图像 媒体动画 机械电子 WEB开发 数 据 库 办公系列 路由技术 网络原理 网络应用
认证考试 安全技术
首页>安全技术>黑客攻防>工具使用>正文
资料搜索
Google搜索
Google
返回上级列表

推荐文章

快速保存网页中所有图片的方法
Windows中让光驱巧妙“隐身”技
防范非法用户入侵Win 2000/XP系
两款比较典型的ASP木马防范方法
有关表格边框的css语法整理
Windows XP中可以被禁用的服务
SQL Server导出导入数据方法
Javascript所有对象的属性的获
网页(HTML)中的特殊字符
与篮球共舞,尽显模式本色
QQ病毒的手工清除方法
Photoshop为极品美女打造性感睫
天衣无缝:IIS与PHP水火也相容
SQL Server存储过程编写和优化

Snort的使用

 作者:本站收集   日期:2005-5-20
字号选择〖 〗/ 双击滚屏 单击停止   
  Snort并不难用,但是它有许多命令行选项要对付,而且哪些选项应该配合使用并不明显 ,本文目标是让新手容易使用snort。

首先,让我们从基础开始。如果你只是想把包的头打印到屏幕上,就输入:

./snort -v

这个命令将运行snort 并且把ip和tcp/udp/icmp头显示在屏幕上,其他都不干。如果你想 看解码后的应用层,输入:

./snort -vd

这个命令告诉snort显示包的头部和数据。如果你想显示更详细些,显示以太网帧头部, 输入:

./snort -vde

(废话一句,这些开关可以分开,也可以任意组合,最后一个命令也可以输入如下:

./snort -d -v -e

一样!!)

Ok,所有这些命令都很酷,但是他们实际上不在磁盘上记录任何包,为了记录,你需要指定一个日志目录:

./snort -dev -l ./log

当然,这假设你在当前目录下有一个名为"log"的目录

如果你只指定"-l"开关,你会注意到snort有时会记录远端计算机的的包,有时则记录本地主机的包。为了记录本地主机,你需要告诉snort哪个网络是本地网络(home network):

./snort -dev -l ./log -h 192.168.1.0/24

这个规则告诉snort你希望把以太帧头和应用层数据记录到目录./log中,并且你希望记录的包是192.168.1.0的
c类网络上的。所有的进入此网络的包都被记录在log目录的子目录下,这些子目录的名字基于远端主机(非192.168.1)的地址。注意如果两个主机都在本地网络上,那么子目录的名字基于两个端口号的大者,如果一样大,就取源地址。

如果你想使用一个规则文件(这样就不会把所有的包都记录下来了),输入:

./snort -dev -l ./log -h 192.168.1.0/24 -c snort-lib

其中snort-lib是你的规则文件的名字。该文件中的规则集将被使用来决定每个包是否被记录。

要注意的是:如果snort要 作为一个ids长期运行,命令中的-v开关要去掉,因为打印到屏幕会降低速度,在显示到屏幕上时可能会丢包。

对于大多数应用,也不必要记录以太帧头部,所以一般使用snort的开关如下:

./snort -d -h 192.168.1.0/24 -l ./log -c snort-lib

如果你想处理tcpdump(或者shadow ids)产生的文件,除了正常的选项外,再加上"-r"开关。这个开关告诉snort从指定的文件读取包,而不是从网络上取包。这样就可以利用snort的规则检查tcpdump(或者shadow ids)产生的文件的内容。例如:

./snort -d -h 192.168.1.0/24 -l ./log -c snort-lib -r tcpdump_file

有人不喜欢snort施加规则的默认顺序,其默认顺序是:首先应用alert规则,然后是pass最后是log规则。这个顺序有些违反人的直觉,但能够避免一些错误:例如你写了100条alert规则,然后不小心用一条pass规则把它们都废球掉了,多亏啊。对于自信的人,用-o开关改变默认的规则使用顺序,首先是pass,然后是alert,最后是log。如下:

./snort -d -h 192.168.1.0/24 -l ./log -c snort-lib -o

最后(到目前为止),如果你想把alert消息传送到syslog中,你可以使用-s开关,如下:

./snort -d -h 192.168.1.0/24 -l ./log -c snort-lib -s

这样,当警告产生时,它们将出现在syslog中,而不是alert文件中。

性能配置

如果你希望snort跑的快一些(跟的上100M的网络),使用-b和-A或者-s(syslog)选项。这样将按照tcpdump的格式记录日志,并产生最少的警告。例如:

./snort -b -A fast -c snort-lib
这样,snort能够记录一个100 Mbps的LAN在饱和速度(大约80mbps)下多个同时的探测和攻击事件。这时日志被按照二进制格式记录在tcpduam格式的snort日志文件中。要读这个文件,用-r开关:

./snort -d -c snort-lib -l ./log -h 192.168.1.0/24 -r snort.log

这样,所有的数据都会存在日志目录中,就象正常的解码后的格式一样 。
上一篇:国产远程控制软件——冰河    下一篇:Sniffit使用说明  
[发送给好友]  [关闭窗口]  [返回顶部]   转载请注明来源:www.it00.com   
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
责任编辑: 原点 投稿作者: 本站收集
信息来源: 网络 录入时间: 2005-5-20
关于我们 - 广告服务 - 版权申明 - 网站地图 - 联系方式 - 总编信箱 - 会员投稿
Copyright ©2005 - 2008 IT00.COM,All Rights Reserved