关注我们
QRcode 邮件联系 QRcode
主页 » 信息安全 » 正文

入侵检测工具Snort的基本命令

 feng  580 ℃  1条点评

虽然目前网上已经出现了Windows平台下的基于snort.exe程序的图形界面控制程序idscenter.exe,其界面的操作行虽然好了很多,但还是不能避免需要使用命令,所以本节还是详细介绍了Snort的命令及其参数的作用。

Snort的命令行的通用形式为:

snort一[options]

各个参数功能如下:

-A:选择设置警报的模式为filll, fast,unsock不11 none. fill l模式是默认警报模式,它记录标准的alert模式到alert文件中;fast模式只记录时间戳、消息、护地址、端口到文件中;inisock是发送到 Unix socket; none模式是关闭报警。

-a:显示ARP包。

-U:以Tcpdump格式记录LOG的信息包,所有信息包都被记录为二进制形式,用这个选项记录速度相对较

快,因为它不需要把信息转化为文本的时间。

-c:使用配置文件,这个规则文件是告诉系统什么样的信息要LOG,或者要报警,或者通过。

-c:只用ASCII码来显示数据报文负载,不用十六进制。

-d:显示应用层数据。

-D:使snort以守护进程的形式运行,默认情况下警报将被发送到/var/log/snort.a lert文件中去。

-e:显示并记录第二层信息包头数据。

-F:从文件中读BPF过滤器(filters).

-g:snort初始化后使用用户组标志(group ID),这种转换使得Snort放弃了在初始化必须使用root用户权限从而更安全。

-h:使用这个选项Snort会用箭头的方式表示数据进出的方向。

-i:在网络接口上监听。

-I:添加第一个网络接口名字到警报输出。

-1:把日志信息记录到目录中去。

-L:设置二进制输出的文件名为。

-m:设置所有Snort的输出文件的访问掩码为。

-M:发送WinPOpllp信息到包含文件中存在的工作站列表中去,这选项需要Samba的支持。

-n:是指定在处理数据包后退出。

-N:关闭日志记录,但ALERT功能仍旧正常工作。

-o:改变规则应用到数据包上的顺序,正常情况下采用Alert-Pas“一Logorder,而采用此选项的顺序是Pass-

Alert- Log order,其中Pass是那些允许通过的规则,ALERT是不允许通过的规则,LOG指日志记录。

-O:使用ASCII码输出模式时本地网IP地址被代替成非本地网IP地址。

-P:关闭混杂(Prollllscuous)嗅探方式,一般用来更安全地调试网络。

-P:设置snort的抓包截断长度。

-r:读取tcpd221llp格式的文件。

-s:把日志警报记录到syslog文件,在LINUX中警告信息会记录在/var/lo到secure,在其他平台上将出现在//var/log/lnessage中。

-S:设置变量;1=v的值,用来在命令行中定义Snort rules文件中的变量,如要在Snort rules文件中定义变量HOME NET,用户可以在命令行中给它预定义值。

-t:初始化后改变snort的根目录到目录。

-T:进入自检模式,snort将检查所有的命令行和规则文件是否正确。

-U:初始化后改变Snort的用户ID到

-v:显示TCP/IP数据报头信息。

-V:显示Snort版本并退出。

-y:在记录的数据包信息的时间戳上加上年份。

-?:显示Snort简要的使用说明并退出。

本文标签:
浅谈渗透入侵的过程
关于IPV6协议的安全问题
我是如何打造一款自动化SQL注入工具的我是如何打造一款自动化SQL注入工具的分析勒索软件Cerber的攻击方法分析勒索软件Cerber的攻击方法​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)某个商业定向攻击活动分析某个商业定向攻击活动分析

已有1条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

  1. avatar
    #1 查询

    分析的很透彻,很欣赏你的看法,学习了。

    2012-10-30 下午 12:37回复


注册帐号  |  忘记密码