Snort拥有3种工作模式，分别为：嗅探器模式、分组日志模式与网络入侵检测模式。

1．嗅探器模式

Snort使用Libpcap包捕获库，即TCPDUMP使用的库。在这种模式下，Snort使用网络接口的混杂模式读取并解析共享信道中的网络分组。该模式的命令如下。

● /snort-v：在屏幕上显示TCP/IP等的网络数据包头信息。

● /snort-vd：显示较详细的包括应用层的数据传输信息。

● /snort-vde：显示更详细的包括数据链路层的数据信息。

2．分组日志模式

如果要把这些数据信息记录到硬盘上并指定到一个目录中，就需要使用分组日志模式。该模式的命令如下。

● /snort-vde-l./log：把Snort抓到的数据链路层、TCP/IP报头、应用层的所有信息存

入当前文件夹的log目录中（如果log目录存在）。

● /snort-vde-l./log-h 192.168.1.0/24：记录192.168.1.0/24这个C类网络的所有进站数

据包信息到log目录中，log目录的子目录以计算机的IP地址为名以相互区别。(www.daowen.com)

● /snort-l./log-b：记录Snort抓到的数据包并以TCPDUMP二进制的格式存放到log

目录中，而Snort的默认日志形式是ASCII文本格式。ASCII文本格式便于阅读，

将二进制的格式转化为ASCII文本格式无疑会加重工作量，所以在高速的网络中，

由于数据流量太大，应该采用二进制的格式。

● /snort-dvr packet.log：读取packet.log日志中的信息到屏幕上。

3．网络入侵检测模式（NIDS）

网络入侵检测模式是用户最常用到的模式，是用户需要掌握的重点。这种模式其实混合了嗅探器模式和分组日志模式，且需要载入规则库才能工作。

该模式的命令格式为：./snort-vde-l./log-h 192.168.1.0/24-c snort.conf。

表示载入配置文件snort.conf，并将网络192.168.1.0/24的报警信息记录到./log中去。这里的“snort.conf”文件可以换成用户自己的配置文件，载入snort.conf配置文件后Snort将会应用设置在snort.conf中的规则去判断每一个数据包以及性质。如果没有用参数-l指定日志存放目录，系统默认将报警信息放入/var/log/snort目录下。还有，如果用户没有记录链路层数据的需要或要保持Snort的快速运行，可以把-v和-e关掉。

关于网络入侵检测模式，还需要注意它的警报输出选项，Snort有多种警报的输出选项，其命令格式为：./snort-A fast-l./log-h 192.168.1.0/24-c snort.conf。表示载入配置文件snort.conf，启用fast警报模式，以默认ASCII格式将网络192.168.1.0/24的报警信息记录到./log中去。这里的fast可以换成full或none等，但在大规模高速网络中最好用fast模式。

若命令格式为：./snort-s-b-l./log-h 192.168.1.0/24-c snort.conf，则表示以二进制格式将警报发送给syslog，其余的与上面的命令一样。需要注意的是，警报的输出模式虽然有6种，但用参数-A设置的只有4种，其余的syslog用参数s，smb模式使用参数M。