Snort拥有3种工作模式,分别为:嗅探器模式、分组日志模式与网络入侵检测模式。
1.嗅探器模式
Snort使用Libpcap包捕获库,即TCPDUMP使用的库。在这种模式下,Snort使用网络接口的混杂模式读取并解析共享信道中的网络分组。该模式的命令如下。
● /snort-v:在屏幕上显示TCP/IP等的网络数据包头信息。
● /snort-vd:显示较详细的包括应用层的数据传输信息。
● /snort-vde:显示更详细的包括数据链路层的数据信息。
2.分组日志模式
如果要把这些数据信息记录到硬盘上并指定到一个目录中,就需要使用分组日志模式。该模式的命令如下。
● /snort-vde-l./log:把Snort抓到的数据链路层、TCP/IP报头、应用层的所有信息存
入当前文件夹的log目录中(如果log目录存在)。
● /snort-vde-l./log-h 192.168.1.0/24:记录192.168.1.0/24这个C类网络的所有进站数
据包信息到log目录中,log目录的子目录以计算机的IP地址为名以相互区别。(www.daowen.com)
● /snort-l./log-b:记录Snort抓到的数据包并以TCPDUMP二进制的格式存放到log
目录中,而Snort的默认日志形式是ASCII文本格式。ASCII文本格式便于阅读,
将二进制的格式转化为ASCII文本格式无疑会加重工作量,所以在高速的网络中,
由于数据流量太大,应该采用二进制的格式。
● /snort-dvr packet.log:读取packet.log日志中的信息到屏幕上。
3.网络入侵检测模式(NIDS)
网络入侵检测模式是用户最常用到的模式,是用户需要掌握的重点。这种模式其实混合了嗅探器模式和分组日志模式,且需要载入规则库才能工作。
该模式的命令格式为:./snort-vde-l./log-h 192.168.1.0/24-c snort.conf。
表示载入配置文件snort.conf,并将网络192.168.1.0/24的报警信息记录到./log中去。这里的“snort.conf”文件可以换成用户自己的配置文件,载入snort.conf配置文件后Snort将会应用设置在snort.conf中的规则去判断每一个数据包以及性质。如果没有用参数-l指定日志存放目录,系统默认将报警信息放入/var/log/snort目录下。还有,如果用户没有记录链路层数据的需要或要保持Snort的快速运行,可以把-v和-e关掉。
关于网络入侵检测模式,还需要注意它的警报输出选项,Snort有多种警报的输出选项,其命令格式为:./snort-A fast-l./log-h 192.168.1.0/24-c snort.conf。表示载入配置文件snort.conf,启用fast警报模式,以默认ASCII格式将网络192.168.1.0/24的报警信息记录到./log中去。这里的fast可以换成full或none等,但在大规模高速网络中最好用fast模式。
若命令格式为:./snort-s-b-l./log-h 192.168.1.0/24-c snort.conf,则表示以二进制格式将警报发送给syslog,其余的与上面的命令一样。需要注意的是,警报的输出模式虽然有6种,但用参数-A设置的只有4种,其余的syslog用参数s,smb模式使用参数M。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。