这边介绍一下Snort的运行参数,这里主要根据使用的方式,来推荐一些常用的组合。Snort目前有常用的三种方式,
- 数据包嗅探
- 数据包记录
- NIDS 络攻击检测
数据包嗅探
分析展示就是我们常用的嗅探模式,和我们用tcpdump,tshark命令一样。
就是让我来瞧瞧你们在说什么
| 参数 | 含义 |
|---|---|
| -v | 显示 IP 和 TCP / UDP / ICMP头信息 |
| -e | 显示二层 文内容,即显示MAC地址以太 帧类型 |
| -d | 显示应用层协议内容,即显示 文数据段 |
| -C | 在-d模式下,不显示16进制数据,只显示字符串类型 |
| -X | 显示链路层数据内容 |
| -q | 安静模式,不显示启动信息,不显示统计信息 |
这些个参数可以自由组合。
数据包记录
这个功能就是将 文保存成pcap包,记录到某个路径下。大概就是把你们说的都记录下来,等以后算账
| 参数 | 含义 |
|---|---|
| -c | 指定配置文件 |
因为配置文件中定义了各种变量,预处理器,模块,以及调用了哪些规则文件,只有都包含了这些内容之后,才能真正以NIDS的身份,监视各种 络 文的安全。
在NIDS模式下,通过-A参数可以控制输出 警到哪里。
| 参数 | 含义 |
|---|---|
| -A fast | 快速警 模式。以简单的格式写入警 ,其中包含时间戳,警 消息,源 IP 地址和目标 IP / 端口 |
| -A full | 完全警 模式。这是默认的警 模式,如果您未指定模式,它将自动使用 |
| -A unsock | 将警 发送到另一个程序可以监听的 UNIX 套接字 |
| -A none | 关闭警 |
| -A console | 将 “快速样式” 警 发送到控制台(屏幕) |
| -A cmg | 生成 “cmg 样式” 警 |
| -s | 将警 发送到 syslog,syslog 警 机制的默认功能是 LOG_AUTHPRIV 和 LOG_ALERT |
| -N | 关闭数据记录,只记录 警 |
如果想通过命令行配置规则和参数的话可以用这两个参数,不过通过配置文件更合适。
| 参数 | 含义 |
|---|---|
| -c <rules> | 使用 Rules文件 |
| -S <n=v> | 设置rules文件中的变量 n 值为 v |
!!!模式组合
前面这三种模式,我们常用的组合就是记录log与其他两种模式的组合,
我们可以既显示又存储
log目录里存储的是二进制文件,也就是pcap包
我们也可以即进行攻击检测又存储
log存储的是 警,和触发 警的那条数据的pcap包(安全 文不存储)
其他参数
读取文件
我们可以利用snort来分析已有的pcap 文,就像回放 文一样,正好和前面的 文记录呼应上了,我先记下来,再分析你有没有问题
| 参数 | 含义 |
|---|---|
| -O | log中的IP地址打马赛克 |
| -B <mask> | 带掩码的IP地址打马赛克 |
其他配置
| 参数 | 含义 |
|---|---|
| -V | 查看版本 |
| -p | 嗅探的时候不再开启混杂模式 |
| -Q | 启用内联模式 |
| -f | 在二进制log写入之后,不再调用fflush |
| -F <bpf> | 使用BPF过滤方法文件 |
| -H | 使哈希表具有确定性. |
| -k <mode> | 校验码模式 (all,noip,notcp,noudp,noicmp,none) |
| -m <umask> | 设置掩码权限= <umask> |
| -P <snap> | 设置显式snaplen (默认 1514) |
| -R <id> | 在 snort_intf<id>.pid 文件名字中包含id |
| -Z <file> | 设置PerformMonitor预处理器文件路径和名称 |
这篇文章将
所有的Options都解释了一下。
后面还有filter options,后续再翻译一下,可以先看看内容如下。
下一篇会介绍一下snort.conf配置文件的参数,欢迎继续学习。
早晨看到了群里发的一段视频,汽车左转与一辆直行自行车相撞,从视频上看,自行车肯定是看到汽车左转了,他就是在赌汽车会减速,但是恰好,汽车司机感觉就没看到自行车,没有任何刹车就直接撞了。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!