阿峰博客 阿峰'S blog

虽然目前网上已经出现了Windows平台下的基于snort.exe程序的图形界面控制程序idscenter.exe，其界面的操作行虽然好了很多，但还是不能避免需要使用命令，所以本节还是详细介绍了Snort的命令及其参数的作用。

Snort的命令行的通用形式为:

snort一[options]

各个参数功能如下:

-A:选择设置警报的模式为filll, fast,unsock不11 none. fill l模式是默认警报模式，它记录标准的alert模式到alert文件中;fast模式只记录时间戳、消息、护地址、端口到文件中;inisock是发送到 Unix socket; none模式是关闭报警。

-a:显示ARP包。

-U:以Tcpdump格式记录LOG的信息包，所有信息包都被记录为二进制形式，用这个选项记录速度相对较

快，因为它不需要把信息转化为文本的时间。

-c:使用配置文件，这个规则文件是告诉系统什么样的信息要LOG，或者要报警，或者通过。

-c:只用ASCII码来显示数据报文负载，不用十六进制。

-d:显示应用层数据。

-D:使snort以守护进程的形式运行，默认情况下警报将被发送到/var/log/snort.a lert文件中去。

-e:显示并记录第二层信息包头数据。

-F:从文件中读BPF过滤器(filters).

-g:snort初始化后使用用户组标志(group ID)，这种转换使得Snort放弃了在初始化必须使用root用户权限从而更安全。

-h:使用这个选项Snort会用箭头的方式表示数据进出的方向。

-i:在网络接口上监听。

-I:添加第一个网络接口名字到警报输出。

-1:把日志信息记录到目录中去。

-L:设置二进制输出的文件名为。

-m:设置所有Snort的输出文件的访问掩码为。

-M:发送WinPOpllp信息到包含文件中存在的工作站列表中去，这选项需要Samba的支持。

-n:是指定在处理数据包后退出。

-N:关闭日志记录，但ALERT功能仍旧正常工作。

-o:改变规则应用到数据包上的顺序，正常情况下采用Alert-Pas“一Logorder，而采用此选项的顺序是Pass-

Alert- Log order，其中Pass是那些允许通过的规则，ALERT是不允许通过的规则，LOG指日志记录。

-O:使用ASCII码输出模式时本地网IP地址被代替成非本地网IP地址。

-P:关闭混杂(Prollllscuous)嗅探方式，一般用来更安全地调试网络。

-P:设置snort的抓包截断长度。

-r:读取tcpd221llp格式的文件。

-s:把日志警报记录到syslog文件，在LINUX中警告信息会记录在/var/lo到secure，在其他平台上将出现在//var/log/lnessage中。

-S:设置变量;1=v的值，用来在命令行中定义Snort rules文件中的变量，如要在Snort rules文件中定义变量HOME NET，用户可以在命令行中给它预定义值。

-t:初始化后改变snort的根目录到目录。

-T:进入自检模式，snort将检查所有的命令行和规则文件是否正确。

-U:初始化后改变Snort的用户ID到

-v:显示TCP/IP数据报头信息。

-V:显示Snort版本并退出。

-y:在记录的数据包信息的时间戳上加上年份。

-?:显示Snort简要的使用说明并退出。