Snort的使用一:安装、嗅探与记录

最新推荐文章于 2025-05-01 16:39:52 发布
最新推荐文章于 2025-05-01 16:39:52 发布
阅读量1.2w 收藏 88
点赞数 13
分类专栏: Web攻防 Tools 文章标签: Snort安装与使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43968080/article/details/103376873
版权

文章目录

一、Snort简述

Snort是一个一个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统,即NIDS/NIPS。

1、工作模式

Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。

1、嗅探:嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。
2、数据包记录:数据包记录器模式把数据包记录到硬盘上。
3、网络入侵检测:网络入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。

在使用Snort时,会自动将网卡设置成混杂模式

二、Snort下载安装

<本次实验在win7虚拟机上进行>

32位系统在安装使用Snort时,必须安装WinpCap

Snort下载链接:https://www.snort.org/downloads#snort-downloads
在这里插入图片描述
WinpCap下载链接:https://www.winpcap.org/install/default.htm
在这里插入图片描述
在这里插入图片描述
安装即可(为方便之后实验,强烈建议装于C盘根目录)
在这里插入图片描述

三、嗅探与数据记录

1、嗅探

在Snort的bin目录下打开cmd
在这里插入图片描述
输入 snort -W 查看当前网卡
在这里插入图片描述
嗅探网卡1:Snort -v -i1
在这里插入图片描述
用另一台主机ping该主机
在这里插入图片描述
已有数据包显示
在这里插入图片描述
ctrl + c 终止后,可查看数据包分析
在这里插入图片描述

2、数据包记录

Snort目录下默认有log文件夹,可将日志直接保存至此文件夹下
在这里插入图片描述
使用 Snort -dve -i1 -h 192.168.88.0/24 -l c:\Snort\log -K ascii 来记录数据包
其中

-dve 表示详细嗅探模式
-h 表示监控的主机网段 当不指定时表示本机ip
-l 表示记录日志 内容是存储位置
-K 表示字符集 以ascii字符集存储

在这里插入图片描述
任意访问网页,已有抓包结果
在这里插入图片描述
在这里插入图片描述
查看文件内容,即为数据头
在这里插入图片描述
链接:Snort的使用二:入侵检测

Snort规则定义测试
m0_72892640的博客
03-22 1015
本文详细介绍了snort的规则,自定义了简单规则进行测试,并配置日志输出
snort安装教程
12-02
Snort个免费的轻量级网络入侵检测系统。它能够跨系统平台操作,自带的轻量级的入侵检测工具可以用于监视小型的TCP/IP网络,在进行网络监视时,Snort能够把网络数据和规则进行模式匹配,从而检测出可能的入侵企图,使用统计学方法对网络数据进行异常检测。
snort 教程
12-11
此文件包含snort配置样例。 共分五步骤: 1 设置网络变量 2 配置动态加载库 3 配置预处理器 4 配置输出插件 5 增加任意的运行时配置向导 6 自定义规则集
【网络安全】Snort 使用入门:命令详解实践指南
A Little Bean
04-21 1208
Snort个强大的开源入侵检测系统(IDS)和入侵防御系统(IPS),在网络安全领域被广泛使用。本文将介绍如何使用命令行正确运行 Snort,以及排查常见问题的方法。实时检测网络攻击记录网络活动自定义规则配合使用实现深度检测嗅探模式(Sniffer):只监听数据包,不分析。包记录模式(Packet Logger):将数据包保存到日志。入侵检测模式(IDS):根据规则分析数据包并产生警报。
【超详细】Snort在Win-7下的安装配置及可视化
m0_58615368的博客
06-21 5185
实验做了那么久,不记录下过程都对不起我掉的头发
Snort规则集Linux数据备份策略
最新发布
weixin_42576186的博客
05-01 391
本文探讨了Snort规则集的重要性及其更新,以及如何使用SnortSnarf工具来分析Snort警报日志。同时,介绍了Linux系统中数据备份安全的重要性,探讨了数据备份的基本原则和方法,包括使用tar和afio进行备份恢复,并强调了备份的必要性和正确的备份策略。
Snort入侵检测系统使用示例
qq_43678263的博客
12-10 3136
本文主要介绍了Snort系统是什么,主要用法和Snort入侵检测系统使用示例现如今Snort已发展成为个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统,是世界最顶尖的开源入侵检测系统。
snort使用
weixin_33924770的博客
02-15 754
http://jingyan.baidu.com/article/d8072ac45a626fec95cefd85.html  接上篇,如果编译安装snort并指定了prefix,那么须指定个软链接,不然每次要用绝对路径,才可以使用。 [root@localhost ~]# ln -s /root/snort/st/bin/snort /bin/snort[root@localhost ~]...
「干货」Snort使用手册「详细版」
橙留香Park的博客
01-21 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
【转】snort安装、配置和使用
tpriwwq的专栏
12-30 2279
方向操作符左边的ip地址和端口号被认为是流来自的源主机,方向操作符右边的ip地址和端口信息是目标主机,还有个双向操作符"<>"。注意Snort的语法。规则的头包含了定义个包的who,where和what信息,以及当满足规则定义的所有属性的包出现时要采取的行动。而基于异常的检测技术则是先定义组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值所定义的“正常”情况比较,得出是否有被攻击的迹象。
snort使用
Arion的笔记
04-14 1274
命令参数 snort -A full -pcap-dir 'APPRecognize/Cert/test_sample' -c /etc/snort/snortmy.conf -l APPRecognize/snort_log/ -A Set alert mode: fast, full, console, test or none (alert file alerts on...
snort安装、配置和使用
热门推荐
不忘初心,护天下安全!
12-19 7万+
Snort 在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention Syst...
snort使用手册(linux)
03-26
libpcap所以很轻松不用再装了) 而WINDOWS更简单只要解包出来就可以了; ---------------------------------------------------------------------- 参数介绍: 命令行是snort -[options] 选项: ; ; ; ;-A 设置模式是full,fast,还是none;full模式是记录 ; ; ; ;标准alert模式到alert文件中;Fast模式只写入时间戳messages, ; ; ; ;IPs,ports到文件中None模式关闭报警 ; ; ; ;-a ; ; ; ;是显示ARP包; ; ; ; ;-b ; ; ; ;是把LOG信息包记录为TCPDUMP格式所有信息包都被记录为 ; ; ; ; ; ; ; ;两进制形式名字如snort-0612@1385.log这个选项对于FAST ; ; ; ; ; ; ; ;记录模式比较好它不需要花费包信息转化为文本时间 ; ; ; ; ; ; ; ;Snort在100Mbps网络中使用"-b"比较好 ; ; ; ;-c 使用配置文件,这个规则文件是告诉系统什么样信息要LOG ; ; ; ; ; ; ; ;或者要报警或者通过 ; ; ; ;-C ; ; ; ;在信息包信息使用ASCII码来显示而不是hexdump ; ; ; ;-d ; ; ; ;解码应用层 ; ; ; ;-D ; ; ; ;把snort以守护进程思路方法来运行默认情况下ALERT记录发送......
Snort全攻略:网络嗅探、数据包记录入侵检测
"这篇资料主要介绍了开源网络入侵检测系统Snort的三种工作模式:嗅探器、数据包记录器和网络入侵检测系统,并提供了不同模式下的使用方法和配置示例。" Snort款广泛使用的开源网络入侵检测系统(NIDS),能够...
掌握SNORT入侵检测系统:嗅探记录实战应用
首先,实验目标是让学生熟悉snort的运作机制,通过实际操作学习如何使用snort嗅探器(通过命令`snort -dev`实时显示网络流量)和数据包记录器(`snort -b`将数据包保存到指定文件)。此外,还包括掌握字符串匹配、...
Snort使用指南:网络入侵检测数据包记录
"Snort中文手册提供了关于Snort的三种工作模式的介绍,包括嗅探器、数据包记录器和网络入侵检测系统。嗅探器模式主要用于实时查看网络流量,数据包记录器则将数据包保存到硬盘,而网络入侵检测模式通过匹配用户定义...
Snort全面指南:安装、配置实战应用
Snort个强大的网络入侵检测系统 (NIDS),其用户手册涵盖了 2.9.0 版本,由 The Snort Project 开发,最初由 Martin Roesch 在 1998-2003 年间创建,后来 Chris Green 在 2001-2003 年加入,直至 Sourcefire, In...
Snort入侵检测系统详解:嗅探记录网络防御
手册介绍了如何在不同模式下使用Snort,如在嗅探器模式下仅显示数据包头信息或包括应用层数据,以及如何在数据包记录器模式下将数据包保存到硬盘。此外,还提到了日志目录的设置和本地网络的日志记录方法。" Snort...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值