w页码，1/24(W) <<Backtoman.ChinaUnix.net Snort中文手册 摘要 snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从 网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬 盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流 以匹配用户定义的一些规则，并根据检测结果采取一定的动作。(2003-12-1116:39:12) Snort用户手册 第一章snort简介 snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上 读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检 测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则， 并根据检测结果采取一定的动作。 嗅探器 所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。首先，我们从最基本 的用法入手。如果你只要把TCP/IP包头信息打印在屏幕上，只需要输入下面的命令： ./snort-v 使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。如果你要看到应用层的数据，可以 使用： ./snort-vd 这条命令使snort在输出包头信息的同时显示包的数据信息。如果你还要显示数据链路层的信息， 就使用下面的命令： ./snort-vde 注意这些选项开关还可以分开写或者任意结合在一块。例如：下面的命令就和上面最后的一条命令 等价： ./snort-d-v–e 数据包记录器 如果要把所有的包记录到硬盘上，你需要指定一个日志目录，snort就会自动记录数据包： ./snort-dev-l./log 当然，./log目录必须存在，否则snort就会报告错误信息并退出。当snort在这种模式下运行，它 会记录所有看到的包将其放到一个目录中，这个目录以数据包目的主机的IP地址命名，例如： 192.168.10.1 如果你只指定了-l命令开关，而没有设置目录名，snort有时会使用远程主机的IP地址作为目录， http://man.chinaunix.net/network/snort/Snortman.htm2012/11/15 w页码，2/24(W) 有时会使用本地主机IP地址作为目录名。为了只对本地网络进行日志，你需要给出本地网络： ./snort-dev-l./log-h192.168.1.0/24 这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录 到目录./log中。 如果你的网络速度很快，或者你想使日志更加紧凑以便以后的分析，那么应该使用二进制的日志文 件格式。所谓的二进制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包记 录到一个单一的二进制文件中： ./snort-l./log-b 注意此处的命令行和上面的有很大的不同。我们勿需指定本地网络，因为所有的东西都被记录到一 个单一的文件。你也不必冗余模式或者使用-d、-e功能选项，因为数据包中的所有内容都会被记录到日 志文件中。 你可以使用任何支持tcpdump二进制格式的嗅探器程序从这个文件中读出数据包，例如：tcpdump 或者Ethereal。使用-r功能开关，也能使snort读出包的数据。snort在所有运行模式下都能够处理 tcpdump格式的文件。例如：如果你想在嗅探器模式下把一个tcpdump格式的二进制文件中的包打印到屏 幕上，可以输入下面的命令： ./snort-dv-rpacket.log 在日志包和入侵检测模式下，通过BPF(BSDPacketFilter)接口，你可以使用许多方式维护日志文 件中的数据。例如，你只想从日志文件中提取ICMP包，只需要输入下面的命令行： ./snort-dvrpacket.logicmp 网络入侵检测系统 snort最重要的用途还是作为网络入侵检测系统(NIDS)，使用下面命令行可以启动这种模式： ./snort-dev-l./log-h192.168.1.0/24-csnort.conf snort.conf是规则集文件。snort会对每个包和规则集进行匹配，发现这样的包就采取相应的行 动。如果你不指定输出目录，snort就输出到/var/log/snort目录。 注意：如果你想长期使用snort作为自己的入侵检测系统，最好不要使用-v选项。因为使用这个选 项，使snort向屏幕上输出一些信息，会大大降低snort的处理速度，从而在向显