snort 笔记1 ----- 3种模式简介

最新推荐文章于 2024-05-16 10:47:05 发布
最新推荐文章于 2024-05-16 10:47:05 发布
阅读量1.3w 收藏 3
点赞数 2
分类专栏: snort Linux 文章标签: preprocessor tcp library database interface build
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jo_say/article/details/6330477
版权
Snort操作:1配置文件位置:/etc/snort2运行:./usr/sbin/snort需要root权限3开机自启动关闭:http://blog.csdn.net/jo_say/archive/2011/03/08/6232952.aspx如snort的2,3,4,5级默认开启,通过chkconfig–-level2345snortoff.就可将其关闭。(chkconfig操作见:http://blog.csdn.net/jo_say/archive/2011/04/18
摘要由CSDN通过智能技术生成

snort笔记:2011-04-18

 

链接snort中文手册,比较老的一个:

http://man.chinaunix.net/network/snort/Snortman.htm


一 基本操作:


1 配置文件位置:/etc/snort

2 运行:./snort 需要root权限 【这是cd到/usr/sbin目录后的操作,要是在别的目录下,可以通过制定全路径】


【补充:linux下执行程序,如果在当前目录下的执行文件,则需要加 ./程序名 ,如果是全路径,则不需要加这个点,比如

这里全路径指向snort: /usr/sbin/snort -vde 等, ./表示相对当前目录】


3 开机自启动关闭:http://blog.csdn.net/jo_say/archive/2011/03/08/6232952.aspx

snort2345级默认开启,通过chkconfig –-level 2345 snort off.就可将其关闭。(chkconfig操作见:http://blog.csdn.net/jo_say/archive/2011/04/18/6330466.aspx

(网上介绍:onoff开关,系统默认只对运行级345有效,但是reset可以对所有运行级有效,但是我刚才好像把2off了,也ok



二:三种模式:


1 嗅探 (snort从网络上读出数据包并将其显示在控制台上)
2 数据包记录器(将数据包记录在硬盘上)

3 NIDS(最复杂,可配置,允许snort匹配用户自定义的数据集,并根据检测结果执行一定的动作)


三:实际操作: 


  • 嗅探模式


1. ./snort -v 

启动snort后会显示:

【1】模式

【2】初始化输出插件

【3】显示snort版本信息和版权信息

【4】显示数据包到控制台

****************************************************************************************************************************


root@helloworld:/# ./usr/sbin/snort -v

Running in packet dump mode 数据包转储模式

        --== Initializing Snort ==--

Initializing Output Plugins!

***

*** interface device lookup found: eth0

***

Initializing Network Interface eth0

Decoding Ethernet on interface eth0


        --== Initialization Complete ==--


   ,,_     -*> Snort! <*-

  o"  )~   Version 2.8.5.2 (Build 121)  

   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team

           Copyright (C) 1998-2009 Sourcefire, Inc., et al.

           Using PCRE version: 8.02 2010-03-19


Not Using PCAP_FRAMES // 为什么会提示?见 http://blog.csdn.net/jo_say/archive/2011/04/18/6331819.aspx]



//下面这个数据包是外部主机发往局域网其它主机的数据包

最低0.47元/天 解锁文章
jo_say
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux下snort的运行模式,Snort工作模式详解
weixin_34538771的博客
05-03 1641
Snort有3工作模式,分别为嗅探器模式、分组数据包记录模式与网络**检测模式。m 嗅探器模式Snort使用Libpcap包捕获库。在该模式下,Snort使用网络接口的混杂模式读取并解析数据包。该模式使用的命令如下所示。localhost:~#snort-vRunninginpacketdumpmode--==InitializingSnort==--Initiali...
snort工作模式详解
热门推荐
xumesang的专栏
05-26 1万+
snort有三工作方式:嗅探器,数据包记录器和网络入侵检测系统.   嗅探器 输入命令: “#snort -v”,即可把TCP/IP包头信息打印在屏幕上,为了方便查看,可以把结果输出到文件中,详情请见文件snort_v.txt,这里只给出部分截图: 如果想(1)看到应用层和数据链路层的数据; (2)把所有的包记录到硬盘上;(3)只对本地网络进行日志.可以使用命令:”# snort
snort problem1
a1234567mdy的专栏
06-28 1075
[root@av ~]# service snortd rstart Usage: /etc/init.d/snortd {start|stop|restart|status} [root@av ~]# service snortd restart Stopping snort:                                            [确定] Startin
没人讲清楚!我来讲!---- Ubuntu 20.04中下载配置Snort3,参数讲解及实现协议警报
最新发布
weixin_45266856的博客
05-16 1748
Snort是一个功能强大的开源网络入侵检测和预防系统(IDS/IPS),由于1998年创建,现由Cisco旗下的Sourcefire进行维护和开发。Snort通过监控网络流量,根据预定义的规则检测并响应潜在的安全威胁。每次都去修改snort.lua文件太麻烦,如想要捕获别的类型数据包并输出警报,可以创建自定义规则以如下命令来讲解自定义规则的匹配参数,表示当匹配的任意端口向的任意端口发送UDP的数据包时,snort会发出警报rev:1;alert。
Snort入侵检测系统使用示例
qq_43678263的博客
12-10 2882
本文主要介绍了Snort系统是什么,主要用法和Snort入侵检测系统使用示例现如今Snort已发展成为一个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统,是世界最顶尖的开源入侵检测系统。
Snort入门(一)
GGGYL111的博客
01-12 1602
Snort用户手册 1 OverView Snort有三模式 Sniffer mode (从网络上读取数据包并显示) Packet Logger mode (将数据包记录到磁盘) NIDS mode(对网络流量进行检测和分析,最复杂且可配置的模式) 简单介绍一下三模式: 1.1 Sniffer Mode 使用以下代码 snort -v ...
kali2020 mysql_快速配置kali-2020系统环境
weixin_39830387的博客
02-26 317
chinaunix网友2009-05-05 10:02在配置文件snort.conf中加入下列一行 alert tcp any any -> any any (flags:S; msg:"SYN Packets Alert!"; sid:20081122客户访问在网页上可以产生报警,并在mysql数据库中可以看到报警的记录存入,去掉后该行后,利用常见扫描软件如Languard、bluesca...
snort-3.0.0-243-cmake.tar.gz
03-14
1. **解压文件**:首先,使用tar命令解压"snort-3.0.0-243-cmake.tar.gz"到一个合适的目录。 2. **安装依赖**:确保系统安装了必要的依赖库,如libpcap、pcre、openssl等。 3. **配置CMake**:运行CMake来配置构建...
Snort-Default-Windows-Configuration:旋转Snort的默认配置
05-11
Snort默认Windows配置描述默认情况下...W 在第5个(或您输入的任何数字)界面上启动Snortsnort -i 5 -c C:\Snort\etc\snort.conf笔记Windows上的Snort不喜欢SO规则-这就是为什么禁用它们。 如果Snort找不到黑名单,白
Snort-IPS-IDS:包含所有带有“删除”规则的snort配置
05-16
1. **协议**:如TCP、UDP或ICMP,指定规则应用于哪网络协议。 2. **源IP/端口**:定义规则适用的源地址或端口。 3. **目标IP/端口**:定义规则适用的目标地址或端口。 4. **标志**:如FIN、SYN等,用于识别特定的...
snort-faq:Snort常见问题解答
05-05
要检出所有文件: git clone git://github.com/vrtadmin/snort-faq.git 常见问题页面 清单什么是邮件列表礼节? 我如何提交有关Snort的问题? 我如何在Snort清单上问一个好问题? Snort.org 什么是注册用户? 为...
入侵检测系统Snort v3.0-snort3-community-rules.tar.gz规则文件
12-09
在本案例中,我们关注的是Snort v3的规则文件,具体为"snort3-community-rules.tar.gz"。 这个压缩包文件包含了Snort v3的社区规则集,这些规则是用于识别各网络攻击和异常行为的关键元素。Talos Rules是Cisco的...
snort使用手册IBM
weixin_30421525的博客
03-17 1649
Snort 使用手册,第 1 部分: 安装与配置 保护和分析 Web 站点及其流量 Web 站点是 Internet 技术中最脆弱也最易受攻击的部分。尝试接触 Snort,它是一款免费、开源的网络入侵防御系统(Network Intrusion Prevention System,NIPS)和网络入侵检测系统(Network Intrusion Detection System,NIDS)工...
snort problem4
a1234567mdy的专栏
07-01 1021
上次缺少 snort-mysql这个包,yum install snort-mysql 之后就可以了。 这次的问题:(运行后停留在最下面不动了) [root@av avsnort]# snort -c /etc/snort/snort.conf -i eth0 Running in IDS mode         --== Initializing Snort ==-- I
本人2009年最新的windows2003下配置snort2.8.4.1的总结
我的专栏
09-09 447
最近在win2003server下配snort2.8.4.1+php5.3+apache2.2+mysql5+adodb509a+base1.4.4+jpgraph+winpcap402,(也尝试用了acid0.9.6b23) 按照网上的提示配置,走了不少弯路,终于能运行起来。 用到的各个软件目前网上都能下载到,我也是刚下载的,所以需要的人自己去下即可。 安装顺序没有明确的先后,大致是 1...
IDS(入侵检测系统)
lin152235的博客
09-10 4119
IDS(入侵检测系统):长时间的监测识别入侵者识别入侵行为检测和监视已成功的入侵为对抗入侵提供信息与依据,防止事态扩大作用:对系统的运行状态进行监视,发现各企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。异常:当某个时间与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。特征:IDS核心是特征库(签名)
Snort规则入门学习
qq_57035765的博客
03-22 7363
Snort规则学习 入门引言 从一条简单的snort规则开始 alert tcp any any -> 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";) snort 每条规则都可以分成逻辑上的两个部分:规则头(header)和规则选项(General Option) 从开头到括号前属于规则头部分,括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。如果许多选项组合在一起
snort规则
浅笑996的博客
10-24 7467
一、Snort规则分为两个部分 二、规则头的基本格式 动作 协议 源IP 源端口 方向操作符 目标IP 目标端口 动作: 动作描述一个数据包的“谁,在何处,什么”的问题,并指明规则被激发后,在事件中应当做什么。在编写规则时,你可以从下面的关键字中选择: ·alert –用选择的警告方法生成一个警告,然后记录这个数据包。 ·log -记录这个数据包。 ·pass – 忽略...
Ubuntu上编译安装Snort-2.9.13及预处理插件开发简介
"Snort-2.9.13插件开发步骤及Ubuntu上Snort的编译安装" Snort是一款开源的网络入侵检测系统(NIDS),它能够实时监控网络流量,识别潜在的攻击行为。在Snort 2.9.13版本中,开发者可以为其创建自定义的预处理插件,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值