入侵检测工具Snort的基本命令
虽然目前网上已经出现了Windows平台下的基于snort.exe程序的图形界面控制程序idscenter.exe,其界面的操作行虽然好了很多,但还是不能避免需要使用命令,所以本节还是详细介绍了Snort的命令及其参数的作用。
Snort的命令行的通用形式为:
snort一[options]
各个参数功能如下:
-A:选择设置警报的模式为filll, fast,unsock不11 none. fill l模式是默认警报模式,它记录标准的alert模式到alert文件中;fast模式只记录时间戳、消息、护地址、端口到文件中;inisock是发送到 Unix socket; none模式是关闭报警。
-a:显示ARP包。
-U:以Tcpdump格式记录LOG的信息包,所有信息包都被记录为二进制形式,用这个选项记录速度相对较
快,因为它不需要把信息转化为文本的时间。
-c:使用配置文件,这个规则文件是告诉系统什么样的信息要LOG,或者要报警,或者通过。
-c:只用ASCII码来显示数据报文负载,不用十六进制。
-d:显示应用层数据。
-D:使snort以守护进程的形式运行,默认情况下警报将被发送到/var/log/snort.a lert文件中去。
-e:显示并记录第二层信息包头数据。
-F:从文件中读BPF过滤器(filters).
-g:snort初始化后使用用户组标志(group ID),这种转换使得Snort放弃了在初始化必须使用root用户权限从而更安全。
-h:使用这个选项Snort会用箭头的方式表示数据进出的方向。
-i:在网络接口上监听。
-I:添加第一个网络接口名字到警报输出。
-1:把日志信息记录到目录中去。
-L:设置二进制输出的文件名为。
-m:设置所有Snort的输出文件的访问掩码为。
-M:发送WinPOpllp信息到包含文件中存在的工作站列表中去,这选项需要Samba的支持。
-n:是指定在处理数据包后退出。
-N:关闭日志记录,但ALERT功能仍旧正常工作。
-o:改变规则应用到数据包上的顺序,正常情况下采用Alert-Pas“一Logorder,而采用此选项的顺序是Pass-
Alert- Log order,其中Pass是那些允许通过的规则,ALERT是不允许通过的规则,LOG指日志记录。
-O:使用ASCII码输出模式时本地网IP地址被代替成非本地网IP地址。
-P:关闭混杂(Prollllscuous)嗅探方式,一般用来更安全地调试网络。
-P:设置snort的抓包截断长度。
-r:读取tcpd221llp格式的文件。
-s:把日志警报记录到syslog文件,在LINUX中警告信息会记录在/var/lo到secure,在其他平台上将出现在//var/log/lnessage中。
-S:设置变量;1=v的值,用来在命令行中定义Snort rules文件中的变量,如要在Snort rules文件中定义变量HOME NET,用户可以在命令行中给它预定义值。
-t:初始化后改变snort的根目录到目录。
-T:进入自检模式,snort将检查所有的命令行和规则文件是否正确。
-U:初始化后改变Snort的用户ID到
-v:显示TCP/IP数据报头信息。
-V:显示Snort版本并退出。
-y:在记录的数据包信息的时间戳上加上年份。
-?:显示Snort简要的使用说明并退出。
分析的很透彻,很欣赏你的看法,学习了。
2012-10-30 下午 12:37