Snort总结-三种运行模式

最新推荐文章于 2023-11-16 09:45:00 发布
最新推荐文章于 2023-11-16 09:45:00 发布
阅读量7.9k 收藏 9
点赞数 1
分类专栏: # IDS--入侵检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ftxc_blog/article/details/12565779
版权
Snort有三种主要模式:sniffer,packet logger,network intrusion detection system。sniffer模式只是简单地从网络上抓取数据包并在终端显示出来;packet logger模式可把数据包保存在磁盘中;network intrusion detection模式是最复杂,具有高可配置性。它可使Snort根据用户定义的规则分析网络流量,并作出反应。
1.1. Sniffer Mode

首先,让我们从最基础开始,如果你只是想在屏幕上打印出TCP/IP包的头信息,可以用以下命令:

snort -v

这条命令只是显示IP和TCP/UDP/ICMP数据包的头信息,其它就没有了。如果你想显示数据包的头信息,并且想显示应用程序传输的数据,可用以下命令:

snort -vd

如果你还想显示链路层的信息,如网卡Mac地址,可用以下命令:

snort -vde

1.2. Packet Logger Mode

如果你想把数据包信息存在磁盘上,就要用Packet Logger Mode。用以下命令可使Snort自动把数据包信息存到磁盘中:

snort -vde -l log_directory

log_directory目录需先建好,否则snort会出错。当snort运行在该模式下时,它会把所有抓取的数据包按IP分类地存放到log_directory中。

可用-h指定本地网络,以使snort记录与本地网络相关的数据包。

snort -vde -l log_directory -h 192.168.1.0/24

如果你在一个高速网络中,或者你想记录数据包以备日后分析,你就可以二进制方式记录数据包,在这里不用指定-vde,因为二进制方式将记录整个包的信息。如:

snort -l log_directory -b

二进制模式把数据包存成tcpdump格式。可用tcpdmup、Ethereal和snort相看。如:

snort -dv -r snort.log

1.3. Network Intrusion Detection Mode

用以下命令开启NIDS模式:

snort -dev -l log_directory -h 192.168.1.0/24 -c snort.conf

snort.conf是规则集配置文件,为了不影响NIDS速度,我们可把-v和-e选项取消。如:

snort -d -l log_directory -h 192.168.1.0/24 -c snort.conf

log_directory目录下会生成alter日志,记录入检测的警报信息。
非同_寻常
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
snort3-community-rules.tar.gz
04-09
snort3社区提供的免费规则匹配文件,在官网上开放下载,但因为本身挂载在亚马逊服务器上,在国内下载可能不是很方便,所以这里上传一份方便大家来下载 # 2021-7-8 将系统动态调分提高到50积分的价格重新降回了5分
入侵检测系统Snort v3.0-snort3-community-rules.tar.gz规则文件
12-09
入侵检测系统Snort v3规则文件,Talos Rules 2022-12-08
Snort - manual 笔记(一)
deliaodun9945的博客
08-29 209
Chapter 1 Snort Overview This manual is based on Writing Snort Rules by Martin Roesch and further work from Chris Green cmg@snort.org.It was then maintained by Brian Caswell <bmc@snort.orga...
snort简介以及在Ubuntu下的安装
weixin_30663391的博客
04-29 95
一、简介 Snort是一套开放源代码的网络入侵预防软件与网络入侵检测软件。Snort使用了以侦测签章(signature-based)与通信协议的侦测方法。Snort是一个免费的IDS(入侵监测系统)软件。它的一些源代码是从著名的tcpdump软件发展而来的。它是一个基于libpcap包的网络监控软件,可以作为一个十分有效的网络入侵监测系统。它能够监测多种网络攻击和探测,例如:缓冲器溢出攻击,端...
OpenWrt编译软件包
有理论,有实验,有结论,可为一篇文章
06-25 6230
在虚拟机上搭建好OpenWrt环境,具体可见我的另一篇文章《OpenWrt环境搭建和编译过程》 我这边以编译Snort (NIDS) 为例,列出编译软件包的步骤。 1、进入到OpenWrt主目录。 2、输入如下命令: $ make menuconfig 3、进入到配置界面,找到路径 Network->Firewall->snort,按y选定,并保存退出。若不知道需要安装的包在什么路径,...
简述Sniffer
xinew的专栏
09-12 979
51CTO推荐:Sniffer安全技术从入门到精通学习Sniffer的概念以及原理应用是Sniffer安全技术的基础,那么对于Sniffer安全技术的掌握我们应该如何入手呢?下面让我们逐一向你介绍。一、什么是Sniffer呢?一般我们在讲的Sniffer程序是把NIC(网络适配卡,一般如以太网卡)置为一种叫promiscuous杂乱模式的状态,一旦网卡设置为这种模式,它就能是Sniff
Snort3:规则语法规范(三)
最新发布
魔神8号的博客
11-16 677
snort规则使用轻量级语法,结构简单,语法清晰,相对容易理解snort规则语法丰富,功能强大snort引擎对规则有较为友好的语法检查和容错机制存在语法错误时,解析阶段会抛出详细的提示信息,精确到行使用http选项时对 service 选项遗漏提醒和自动补充snort3对规则语法处理上可能不够完备有时遗漏 ";"不会抛出异常多条distance 、 within 修饰的content选项组合使用时,某些情况下无法命中如果期望对snort规则有较为准确。
snort三种工作模式详解
热门推荐
xumesang的专栏
05-26 1万+
snort三种工作方式:嗅探器,数据包记录器和网络入侵检测系统.   嗅探器 输入命令: “#snort -v”,即可把TCP/IP包头信息打印在屏幕上,为了方便查看,可以把结果输出到文件中,详情请见文件snort_v.txt,这里只给出部分截图: 如果想(1)看到应用层和数据链路层的数据; (2)把所有的包记录到硬盘上;(3)只对本地网络进行日志.可以使用命令:”# snort
「干货」Snort使用手册「详细版」
橙留香Park的博客
01-21 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Snort日志输出插件详解
weixin_33898233的博客
03-27 3987
Snort日志输出插件详解  Snort是一款老×××的开源***检测工具,本文主要讨论他作为日志分析时的各种插件的应用。Snort的日志一般位于:/var/log/snort/目录下。可以通过修改配置文件来设置Snort的报警形式。基于文本的格式、Libpcap格式和数据库是Snort最重要的三种报警形式。本文主要对每种报警形式及其配置进行介绍。1    工作模式及输出插件Snort拥有3种工作...
Snort-Rules:Snort 23条规则的集合
05-11
Snort规则 描述 Snort 2和3规则很不错。 包括社区版和另一个Github存储库的快照克隆。 喷鼻息2 为了易于使用,该存储库已存储在snortrules-snapshot-2972.zip中。 还有公共版本的snort2-community-rules.tar。 喷...
Snort-Default-Windows-Configuration:旋转Snort的默认配置
05-11
此配置可立即启动并运行Snort 2(2.9)。 如果您的路径不同,本指南假定Snort已安装或将安装在C:\ Snort中-请进行必要的调整。指示安装Snort 2: 安装WinPCap: 下载并替换位于C:\ Snore \ etc \路径中的配置文件...
安全专业的c语言试卷,2018年信息安全工程师下午真题含答案 | 月梦工作室
weixin_39548606的博客
05-17 385
试题一阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。【说明】恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。2017年5月,勒索软件WanaCry席卷全球,国内大量高校及企事业单位的计算机被攻击,文件及数据被加密后无法使用,系统或服务无法正常运行,损失巨大。【问题1】(2分)按照恶意代码的分类,...
Snort入门(一)
GGGYL111的博客
01-12 1488
Snort用户手册 1 OverView Snort三种模式 Sniffer mode (从网络上读取数据包并显示) Packet Logger mode (将数据包记录到磁盘) NIDS mode(对网络流量进行检测和分析,最复杂且可配置的模式) 简单介绍一下三种模式: 1.1 Sniffer Mode 使用以下代码 snort -v ...
认识Snort3 (1):编译、安装与简单使用
weixin_44911246的博客
01-07 7271
Snort 简介 Snort,是一款开源的 IDS/IPS 软件,由思科公司(Cisco)主导开发,使用广泛。Snort三种模式——包嗅探模式Packet Sniffer)、包记录模式Packet Logging)、IPS模式(Intrusion Prevention System)。搭配自定义的规则、不同的插件与其他软件,Snort 能在不同的系统中发挥不同的作用。 本篇文章简单记录 Snort3 的编译、安装和简单使用流程。 编译安装 Snort3 例子中使用的操作系统是 Ubuntu Serv
基于Snort的入侵检测系统_相关论文
carakia的博客
07-22 3775
摘 要 随着网络技术的发展,中小型企业已建设了属于自己的信息化业务平台与系统。中小型企业只有实现信息互通,资源共享,才能够在当今的竞争中生存下去,但信息的互通会面临一些安全问题,对此需要对其采取一些措施来进行防范。 对于过去的网络而言,它相对于封闭,因此具有良好的安全性,使用简单的安全性设备就能够防范黑客的非法入侵。现如今,由于恶意病毒的散布、敏感信息泄露、垃圾邮件非法轰炸等一些网络安全威胁...
Snort IPS内联模式
有理论,有实验,有结论,可为一篇文章
01-18 2280
http://sublimerobots.com/2016/02/snort-ips-inline-mode-on-ubuntu/
openwrt中防暴力破解shell的脚本
d9394952的博客
02-21 2276
原文:http://www.right.com.cn/forum/thread-124429-1-1.html 原理:1. snort做入侵检测是很好,但是太大太复杂,我们需要轻量化的操作。当对方进行SSH 端口的穷举攻击的时候,dropbear会在系统log中记录下特定信息如: Login attempt for nonexistent user Bad password attempt for...
Snort总结-简介
非同╰_╯寻常
10-10 1万+
相关定义:   入侵检测  是指用来检测针对网络及主机的可疑活动的一系列技术和方法。入侵检测系统基本可以分为两大类:基于特征的入侵检测系统和异常行为检测系统。  入侵检测系统或IDS是一种用来检测入侵行为的软件、硬件或者两者的结合。Snort是大众可以获得的开放源码的IDS。IDS的实际能力依赖于组件的复杂度及精巧性。实体的IDS是硬件和软件的结合,很多公司可以提供及决方案。 网络IDS或
Snort三种模式的区别你知道吗
05-30
是的,我知道。Snort是一种开源的网络入侵检测系统。它有三种模式,分别是:sniffer模式packet logger模式和network intrusion detection system (NIDS)模式。 1. sniffer模式:在这种模式下,Snort将以一个网络嗅探器的方式运行。它将捕获网络上的所有数据包,并将它们显示在屏幕上。 2. packet logger模式:在这种模式下,Snort将捕获网络上的所有数据包,并将它们写入到一个日志文件中,以供后续分析使用。 3. NIDS模式:在这种模式下,Snort将作为一个网络入侵检测系统运行。它将分析网络上的所有数据包,并根据预定义的规则检测是否存在入侵行为。如果检测到入侵行为,Snort将发出警报并记录相关的数据包信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值