snort 笔记1 ----- 3种模式简介

最新推荐文章于 2024-05-16 10:47:05 发布
最新推荐文章于 2024-05-16 10:47:05 发布
阅读量1.3w 收藏 3
点赞数 2
分类专栏: snort Linux 文章标签: preprocessor tcp library database interface build
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jo_say/article/details/6330477
版权
Snort操作:1配置文件位置:/etc/snort2运行:./usr/sbin/snort需要root权限3开机自启动关闭:http://blog.csdn.net/jo_say/archive/2011/03/08/6232952.aspx如snort的2,3,4,5级默认开启,通过chkconfig–-level2345snortoff.就可将其关闭。(chkconfig操作见:http://blog.csdn.net/jo_say/archive/2011/04/18
摘要由CSDN通过智能技术生成

snort笔记:2011-04-18

 

链接snort中文手册,比较老的一个:

http://man.chinaunix.net/network/snort/Snortman.htm


一 基本操作:


1 配置文件位置:/etc/snort

2 运行:./snort 需要root权限 【这是cd到/usr/sbin目录后的操作,要是在别的目录下,可以通过制定全路径】


【补充:linux下执行程序,如果在当前目录下的执行文件,则需要加 ./程序名 ,如果是全路径,则不需要加这个点,比如

这里全路径指向snort: /usr/sbin/snort -vde 等, ./表示相对当前目录】


3 开机自启动关闭:http://blog.csdn.net/jo_say/archive/2011/03/08/6232952.aspx

snort2345级默认开启,通过chkconfig –-level 2345 snort off.就可将其关闭。(chkconfig操作见:http://blog.csdn.net/jo_say/archive/2011/04/18/6330466.aspx

(网上介绍:onoff开关,系统默认只对运行级345有效,但是reset可以对所有运行级有效,但是我刚才好像把2off了,也ok



二:三种模式:


1 嗅探 (snort从网络上读出数据包并将其显示在控制台上)
2 数据包记录器(将数据包记录在硬盘上)

3 NIDS(最复杂,可配置,允许snort匹配用户自定义的数据集,并根据检测结果执行一定的动作)


三:实际操作: 


  • 嗅探模式


1. ./snort -v 

启动snort后会显示:

【1】模式

【2】初始化输出插件

【3】显示snort版本信息和版权信息

【4】显示数据包到控制台

****************************************************************************************************************************


root@helloworld:/# ./usr/sbin/snort -v

Running in packet dump mode 数据包转储模式

        --== Initializing Snort ==--

Initializing Output Plugins!

***

*** interface device lookup found: eth0

***

Initializing Network Interface eth0

Decoding Ethernet on interface eth0


        --== Initialization Complete ==--


   ,,_     -*> Snort! <*-

  o"  )~   Version 2.8.5.2 (Build 121)  

   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team

           Copyright (C) 1998-2009 Sourcefire, Inc., et al.

           Using PCRE version: 8.02 2010-03-19


Not Using PCAP_FRAMES // 为什么会提示?见 http://blog.csdn.net/jo_say/archive/2011/04/18/6331819.aspx]



//下面这个数据包是外部主机发往局域网其它主机的数据包

最低0.47元/天 解锁文章
jo_say
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Snort的工作原理
luguifang2011的专栏
07-11 1万+
Snort 工作流程分为以下四个主要部分: 1、包捕获/解码引擎:首先,利用libpcap从网卡捕获网络上的数据包,然后数据包经过解码引擎填入到链路层协议的包结构体中,以便对高层次的协议进行解码,如TCP和UDP端口。 2、预处理器插件:接着,数据包被送到各各样的预处理器中,在检测引擎处理之前进行检查和操作。每个预处理器检查数据包是否应该注意、报警或者修改某些东西。 3、规则解析和检测引擎
snort工作模式详解
热门推荐
xumesang的专栏
05-26 1万+
snort有三工作方式:嗅探器,数据包记录器和网络入侵检测系统.   嗅探器 输入命令: “#snort -v”,即可把TCP/IP包头信息打印在屏幕上,为了方便查看,可以把结果输出到文件中,详情请见文件snort_v.txt,这里只给出部分截图: 如果想(1)看到应用层和数据链路层的数据; (2)把所有的包记录到硬盘上;(3)只对本地网络进行日志.可以使用命令:”# snort
没人讲清楚!我来讲!---- Ubuntu 20.04中下载配置Snort3,参数讲解及实现协议警报
最新发布
weixin_45266856的博客
05-16 1724
Snort是一个功能强大的开源网络入侵检测和预防系统(IDS/IPS),由于1998年创建,现由Cisco旗下的Sourcefire进行维护和开发。Snort通过监控网络流量,根据预定义的规则检测并响应潜在的安全威胁。每次都去修改snort.lua文件太麻烦,如想要捕获别的类型数据包并输出警报,可以创建自定义规则以如下命令来讲解自定义规则的匹配参数,表示当匹配的任意端口向的任意端口发送UDP的数据包时,snort会发出警报rev:1;alert。
Snort总结-三运行模式
非同╰_╯寻常
10-10 8073
Snort有三主要模式:sniffer,packet logger,network intrusion detection system。sniffer模式只是简单地从网络上抓取数据包并在终端显示出来;packet logger模式可把数据包保存在磁盘中;network intrusion detection模式是最复杂,具有高可配置性。它可使Snort根据用户定义的规则分析网络流量,并作出反应
snort学习笔记
weixin_30858241的博客
08-13 399
  Snort有三工作模式:嗅探器、数据包记录器、网络入侵检测系统(ids)。   嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。   数据包记录器模式把数据包记录到硬盘上。   网络入侵检测模式是最复杂的,而且是可配置的。可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。   Snort能够对网络上的数据包进行抓包分析,但区...
Snort规则入门学习
qq_57035765的博客
03-22 7359
Snort规则学习 入门引言 从一条简单的snort规则开始 alert tcp any any -> 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";) snort 每条规则都可以分成逻辑上的两个部分:规则头(header)和规则选项(General Option) 从开头到括号前属于规则头部分,括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。如果许多选项组合在一起
转:snort简介
x1y31的专栏
01-16 1318
简介  1.什么是入侵检测  2.什么是snort  3.什么是日志分析  4.snort的日志格式  4.1.基于文本的格式  4.2.tcpdump格式  4.3.数据库  5.工具  5.1.管理基于文本日志的工具  5.2.基于tcpdump日志文件的分析工具  5.3.数据库分析工具  总结  参考  简介  snort是一个轻量级的网络入侵检测系统,它可以记录所有可能的入侵企图
snort-3.0.0-243-cmake.tar.gz
03-14
1. **解压文件**:首先,使用tar命令解压"snort-3.0.0-243-cmake.tar.gz"到一个合适的目录。 2. **安装依赖**:确保系统安装了必要的依赖库,如libpcap、pcre、openssl等。 3. **配置CMake**:运行CMake来配置构建...
Snort-Default-Windows-Configuration:旋转Snort的默认配置
05-11
Snort默认Windows配置描述默认情况下...W 在第5个(或您输入的任何数字)界面上启动Snortsnort -i 5 -c C:\Snort\etc\snort.conf笔记Windows上的Snort不喜欢SO规则-这就是为什么禁用它们。 如果Snort找不到黑名单,白
Snort-IPS-IDS:包含所有带有“删除”规则的snort配置
05-16
1. **协议**:如TCP、UDP或ICMP,指定规则应用于哪网络协议。 2. **源IP/端口**:定义规则适用的源地址或端口。 3. **目标IP/端口**:定义规则适用的目标地址或端口。 4. **标志**:如FIN、SYN等,用于识别特定的...
snort-faq:Snort常见问题解答
05-05
要检出所有文件: git clone git://github.com/vrtadmin/snort-faq.git 常见问题页面 清单什么是邮件列表礼节? 我如何提交有关Snort的问题? 我如何在Snort清单上问一个好问题? Snort.org 什么是注册用户? 为...
SVN安装和采用http或https访问
12-08
svn的安装,使用http访问svn资源库,使用https访问svn资源库
入侵检测系统Snort v3.0-snort3-community-rules.tar.gz规则文件
12-09
在本案例中,我们关注的是Snort v3的规则文件,具体为"snort3-community-rules.tar.gz"。 这个压缩包文件包含了Snort v3的社区规则集,这些规则是用于识别各网络攻击和异常行为的关键元素。Talos Rules是Cisco的...
snort problem1
a1234567mdy的专栏
06-28 1063
[root@av ~]# service snortd rstart Usage: /etc/init.d/snortd {start|stop|restart|status} [root@av ~]# service snortd restart Stopping snort:                                            [确定] Startin
Snort入门(一)
GGGYL111的博客
01-12 1600
Snort用户手册 1 OverView Snort有三模式 Sniffer mode (从网络上读取数据包并显示) Packet Logger mode (将数据包记录到磁盘) NIDS mode(对网络流量进行检测和分析,最复杂且可配置的模式) 简单介绍一下三模式: 1.1 Sniffer Mode 使用以下代码 snort -v ...
本人2009年最新的windows2003下配置snort2.8.4.1的总结
我的专栏
09-09 447
最近在win2003server下配snort2.8.4.1+php5.3+apache2.2+mysql5+adodb509a+base1.4.4+jpgraph+winpcap402,(也尝试用了acid0.9.6b23) 按照网上的提示配置,走了不少弯路,终于能运行起来。 用到的各个软件目前网上都能下载到,我也是刚下载的,所以需要的人自己去下即可。 安装顺序没有明确的先后,大致是 1...
IDS(入侵检测系统)
lin152235的博客
09-10 4118
IDS(入侵检测系统):长时间的监测识别入侵者识别入侵行为检测和监视已成功的入侵为对抗入侵提供信息与依据,防止事态扩大作用:对系统的运行状态进行监视,发现各企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。异常:当某个时间与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。特征:IDS核心是特征库(签名)
redis性能测试tcp socket and unix domain
weixin_30892763的博客
12-31 567
UNIX Domain Socket IPC socket API原本是为网络通讯设计的,但后来在socket的框架上发展出一IPC机制,就是UNIX Domain Socket。虽然网络socket也可用于同一台主机的进程间通讯(通过loopback地址127.0.0.1),但是UNIX Domain Socket用于IPC更有效率:不需要经过网络协议栈,不需要打包拆包、计算校验和、维护序号...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值