snort数据包记录模式修改包的大小…

最新推荐文章于 2022-12-10 19:32:53 发布
最新推荐文章于 2022-12-10 19:32:53 发布
阅读量2k 收藏
点赞数
分类专栏: # IDS--入侵检测 文章标签: snort 数据包记录模式 修改snort指定数据包大小
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ftxc_blog/article/details/12565849
版权
snort数据包记录模式 制定的数据包大小为128M,每到128M后会重新生成一个新的数据包。

在实际使用过程中,需要更大的数据包做测试,遇到了多个数据包合并的问题,
      解决方法一:
                          wireshark 的 mergepcap  方法,进入命令模式,可以合并多个数据包(注意:图形界面合并速度缓慢而且每次只能合并2个)
      解决方法二:
                          (回忆的,具体可能存在出入) 修改snort源码,
                         
                 cd     /snort-2.9.3.1/src/output-plugins


                                找到spo_log_tcpdump.c  
                                修改一个宏定义 #define DEFAULT_LIMIT (128*M_BYTES)    //本版本为78行
                         
                  修改完成后重新 编译、安装。
                                然后 snort -i eth0  -b  -l  ./Snort_pcap
              
                这样生成的报文每次超过1.2多G时会自动生成下一个数据包
非同_寻常
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
嗅探器模式数据包记录模式
weixin_40789841的博客
01-21 1872
一、实验目的及要求 1. 学习snort的工作模式 2.学习数据包记录模式的使用过程 3.对命令参数进行学习 二、实验设备(环境)及要求 PC机, VC++等,虚拟云平台 三、实验内容与步骤 1.嗅探器模式 (1).在192.168.1.2的终端上输入“snort -v”,进行snort启动; (2).分析snort启动信息; (3).登录客户端192.168.1....
snort规则
05-10
安装 snort规则所需要的snortrules-snapshot-2900.tar.gz
snort代码修改记录
weixin_33811539的博客
10-30 124
2019独角兽企业重金招聘Python工程师标准>>> ...
「干货」Snort使用手册「详细版」
橙留香Park的博客
01-21 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
iptables和snort基本配置
SimoSimoSimo的博客
06-18 1444
iptable和snort基本配置
一个轻量级入侵检测系统Snort数据包采集工具daq.zip
最新发布
12-29
一个轻量级入侵检测系统Snort数据包采集工具daq.zip一个轻量级入侵检测系统Snort数据包采集工具daq.zip一个轻量级入侵检测系统Snort数据包采集工具daq.zip一个轻量级入侵检测系统Snort数据包采集工具daq.zip...
snort2.9.3预处理插件步骤整理修改
09-08
Snort中,预处理插件扮演着重要角色,它们在数据包被规则引擎处理之前对其进行分析和转换,有助于提升检测效率和准确性。在本文中,我们将详细探讨如何开发Snort 2.9.3的预处理插件,主要基于提供的步骤进行说明。...
snort 2.9.12版本 for Windows
02-10
snort 2.9.12版本,适用于windows操作系统下,需配合WinPcap4.1.1以上使用
snort引擎windows安装版本
04-21
规则文件含了匹配网络流量的模式,当流量匹配到这些模式时,Snort会根据规则的响应行动来处理。 Snort的配置文件通常括以下几个部分: 1. **通用设置**:定义日志目录、工作模式数据链接类型等。 2. **预...
snort使用的BM模式匹配算法
04-20
Snort中,BM算法被用于快速扫描网络流量中的数据包,查找是否存在已知的攻击模式或异常行为。每个攻击签名(模式)都与特定的事件响应相关联,一旦匹配成功,Snort就会触发相应的警告或阻断动作。 **VC++实现** ...
snort命令
02-14
snort常用抓命令,如log文件存放位置,抓的格式等等
snort数据资料长度
12-22
snort数据资料长度,对于初学snort的同学非常有用
Snort入侵检测系统使用示例
qq_43678263的博客
12-10 2879
本文主要介绍了Snort系统是什么,主要用法和Snort入侵检测系统使用示例现如今Snort已发展成为一个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统,是世界最顶尖的开源入侵检测系统。
snort三种工作模式详解
热门推荐
xumesang的专栏
05-26 1万+
snort有三种工作方式:嗅探器,数据包记录器和网络入侵检测系统.   嗅探器 输入命令: “#snort -v”,即可把TCP/IP头信息打印在屏幕上,为了方便查看,可以把结果输出到文件中,详情请见文件snort_v.txt,这里只给出部分截图: 如果想(1)看到应用层和数据链路层的数据; (2)把所有的记录到硬盘上;(3)只对本地网络进行日志.可以使用命令:”# snort
Snort的使用一:安装、嗅探与记录
野原新之助
12-05 9672
Snort是一个一个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统,即NIDS/NIPS。
Snort里如何将读取的记录存到二进制tcpdump文件下(图文详解)
weixin_34389926的博客
08-09 466
      不多说,直接上干货!     如果网络速度很快,或者想使日志更加紧凑以便以后的分析,那么应该使用二进制的日志文件格式。如tcpdump格式或者pcap格式。     这里,我们不需指定本地网络了,因为所以的东西都被记录到一个单一的文件。你也不必冗余模式或者使用-d、-e功能选项,因为数据包的所有内容都会被记录到日志文件中。   [root@datatest ~]# s...
网络入侵检测--Snort软件运行模式及参数详解
小人物的编程
11-15 4154
介绍了snort的三种运行模式,及相关参数的详细解释
snort 笔记1 ----- 3种模式简介
云里雾里的专栏
04-18 1万+
Snort操作:1 配置文件位置:/etc/snort2 运行:./usr/sbin/snort 需要root权限3 开机自启动关闭:http://blog.csdn.net/jo_say/archive/2011/03/08/6232952.aspx如snort的2,3,4,5级默认开启,通过chkconfig –-level 2345 snort off.就可将其关闭。(chkconfig操作见:http://blog.csdn.net/jo_say/archive/2011/04/18
Snort总结-三种运行模式
非同╰_╯寻常
10-10 8072
Snort有三种主要模式:sniffer,packet logger,network intrusion detection system。sniffer模式只是简单地从网络上抓取数据包并在终端显示出来;packet logger模式可把数据包保存在磁盘中;network intrusion detection模式是最复杂,具有高可配置性。它可使Snort根据用户定义的规则分析网络流量,并作出反应
snort怎么检测ARP数据包
06-09
要检测ARP数据包,可以使用Snort规则中的Ether proto字段来指定以太网协议类型为ARP,例如: ``` alert arp any any -> any any (msg:"ARP packet detected"; sid:1000001;) ``` 这条规则将检测所有的ARP数据包,并生成一个名为"ARP packet detected"的警告消息,sid为1000001。 另外,还可以使用更具体的ARP字段,例如: ``` alert arp any any -> any any (msg:"ARP request detected"; arp_opcode:1; sid:1000002;) ``` 这条规则将检测ARP请求数据包,并生成一个名为"ARP request detected"的警告消息,sid为1000002。其中arp_opcode字段用于指定ARP操作码,1表示ARP请求,2表示ARP应答。 需要注意的是,在使用Snort检测ARP数据包时,需要在抓时开启混杂模式,否则无法检测到ARP数据包

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值