snort笔记:2011-04-18
链接snort中文手册,比较老的一个:
http://man.chinaunix.net/network/snort/Snortman.htm。
一 基本操作:
1 配置文件位置:/etc/snort
2 运行:./snort 需要root权限 【这是cd到/usr/sbin目录后的操作,要是在别的目录下,可以通过制定全路径】
【补充:linux下执行程序,如果在当前目录下的执行文件,则需要加 ./程序名 ,如果是全路径,则不需要加这个点,比如
这里全路径指向snort: /usr/sbin/snort -vde 等, ./表示相对当前目录】
3 开机自启动关闭:http://blog.csdn.net/jo_say/archive/2011/03/08/6232952.aspx
如snort的2,3,4,5级默认开启,通过chkconfig –-level 2345 snort off.就可将其关闭。(chkconfig操作见:http://blog.csdn.net/jo_say/archive/2011/04/18/6330466.aspx
(网上介绍:on和off开关,系统默认只对运行级3,4,5有效,但是reset可以对所有运行级有效,但是我刚才好像把2也off了,也ok了)
二:三种模式:
1 嗅探 (snort从网络上读出数据包并将其显示在控制台上)
2 数据包记录器(将数据包记录在硬盘上)
3 NIDS(最复杂,可配置,允许snort匹配用户自定义的数据集,并根据检测结果执行一定的动作)
三:实际操作:
- 嗅探模式:
1. ./snort -v
启动snort后会显示:
【1】模式
【2】初始化输出插件
【3】显示snort版本信息和版权信息
【4】显示数据包到控制台
****************************************************************************************************************************
root@helloworld:/# ./usr/sbin/snort -v
Running in packet dump mode 数据包转储模式
--== Initializing Snort ==--
Initializing Output Plugins!
***
*** interface device lookup found: eth0
***
Initializing Network Interface eth0
Decoding Ethernet on interface eth0
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.8.5.2 (Build 121)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2009 Sourcefire, Inc., et al.
Using PCRE version: 8.02 2010-03-19
Not Using PCAP_FRAMES // 为什么会提示?见 http://blog.csdn.net/jo_say/archive/2011/04/18/6331819.aspx]
//下面这个数据包是外部主机发往局域网其它主机的数据包