snort入门

最新推荐文章于 2024-07-11 14:30:14 发布
最新推荐文章于 2024-07-11 14:30:14 发布
阅读量213 收藏 1
点赞数 3
文章标签: 威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/you_get_me_there/article/details/139135195
版权

开源仓库: GitHub - snort3/snort3: Snort++

官网: https://snort.org/

使用ubuntu安装命令(当前ubuntu16-04默认安装snort2版本):

# apt install snort

安装完成后使用如下命令查看帮助:

# snort -?

snort分析流量是通过规则定义的, 社区规则下载地址:

https://snort.org/downloads#additional_downloads

还有官方安装源码,以及不同版本的规则下载集合包,还有规则说明文档等

这里简单说明一下流量规则如何定义:

snort规则简单示例如下:
# alert tcp any any  -> 192.168.0.5 :5000  [其他可选过滤参数]

alert代表匹配规则后的动作, 替换alert的操作有:
alert - generate an alert using the selected alert method, and then log the packet
log - log the packet
pass - ignore the packet
drop - block and log the packet
reject - block the packet, log it, and then send a TCP reset if the protocol is TCP or an ICMP port unreachable message if the protocol is UDP.
sdrop - block the packet but do not log it

tcp代表协议, 可以修改为 TCP、UDP、ICMP 和 IP 等

然后是ip范围 端口范围, 方向描述符, ip范围 端口范围  
(无论是ip范围还是端口范围前面都可以加叹号代表取反)
192.168.1.0/24 any  -> 192.168.0.5 8:5000   

三种方向
->  从左到右
<-  从右到左
<>  双向

 默认情况下安装后配置文件和默认规则会自动放到如下目录里面:

# /etc/snort/snort.conf
# /etc/snort/rules/

使用命令分析:

读取pcap格式的流量文件, 分析流量后将日志输出到/log目录下, 使用snort.conf配置的规则
# snort -r /path/one.pcap -l /path/log/ -c /etc/snort/snort.conf

添加 -N 参数不再输出默认普通流量日志
添加 -q 参数不再生成最终执行时长统计报告
# snort -N -q -r /path/one.pcap -l /path/log/ -c /etc/snort/snort.conf

日志生成:
/path/log/alert 文件是alert规则触发后才会记录的, 其他文件都是普通流量日志

you_get_me_there
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Snort学习笔记
lyx_yuxiong的博客
04-16 2230
Snort是一个开源的、占用资源较少的多平台部署的入侵检测系统。 1.Snort前言:必须要考虑Snort自身安全。否则其检测到的数据无可信度。安全设备的自身安全是非常重要的。一旦系统遭受攻击,如DDoS攻击,与Snort争夺计算资源,造成Snort不可用。需要对Snort的应用环境进行良好的安全策略部署。 2.Snort安全加固:关闭不需要的服务/保持系统完整性(Tripwire、AIDE)
【网络安全】Snort安装规则编写及实例验证
Walter的专栏
12-24 9505
Snort安装与使用,本文介绍Snort的编译安装步骤及配置文件修改和自定义规则集进行报文验证。 1、安装所需要的软件包如下:依次解压安装即可 tar zxvf xx.tar.gz   ./configure ;make ;make install -rw-r--r--.  1 root      root        419752 12?.19 15:26 libdnet-1.10.tar
网络安全监控与入侵检测:使用Snort、Suricata等工具进行入侵检测
最新发布
weixin_39372311的博客
07-11 727
网络安全监控与入侵检测是构建坚不可摧的网络安全防线的重要环节。通过实时监控网络流量和系统活动,及时发现和阻止恶意行为,从而保护网络安全。在本篇文章中,我们介绍了网络安全监控与入侵检测的基本概念,并使用Snort、Suricata等工具进行入侵检测。通过遵循最佳实践,我们可以更有效地进行网络安全监控与入侵检测,提高网络的安全性。
Snort+Iptables+Guardian构建主动防火墙.pdf
07-04
Snort+Iptables+Guardian构建主动防火墙.pdf
snort文档测试,详细文档资料
12-09
snort安装测试文档 详细的资料,原创,非抄袭 文档资料,比较详细,可以与试验结合,其实我不想写这么多、
Snort 中文手册 强大的说明文档
02-22
Snort 中文手册
Snort 中文手册
01-19
Snort 中文手册
入侵检测系统snort入门教程
09-27
### 入侵检测系统snort入门教程 #### 一、什么是入侵检测系统(IDS) 入侵检测系统(Intrusion Detection System,简称IDS)是一种用于监控网络或系统活动以发现恶意行为的安全工具。它通过分析流量数据来识别可能...
snort配置手册
05-19
- **文档**: 可以在线下载Snort配置手册,该手册内容浅显易懂,适合初学者入门学习。 #### 1.2 嗅探模式 - **描述**: 在此模式下,Snort像一个普通的网络嗅探器一样工作,用于捕获和显示网络上的数据包。 - **应用...
snort_manual.pdf
07-11
文档为新用户提供了一个快速入门指南,包括如何下载安装Snort、如何进行基本配置以及如何运行Snort的步骤。 1.2 数据包捕获 Snort可以配置不同的数据包捕获方法,例如使用pcap库、AFPACKET、NFQ(Netfilter Queue)...
Snort_3.0.0-a4-241_on_Ubuntu_14_and_16.pdf
02-09
本文档是关于如何在Ubuntu 14和Ubuntu ...由于文档内容是通过OCR扫描识别的,可能出现个别文字错误或遗漏,但整体上提供了在Ubuntu 14和Ubuntu 16上安装Snort 3的基本步骤和概念介绍,为Snort入门和实践提供了指导。
snort中文手册
03-17
snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式 仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器 模 式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们 可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果 采取一 定的动作
snort 用户手册
11-12
##### 1.1 入门 - **安装与配置**:首先需要在目标系统上安装Snort,并进行基本配置。 - **理解概念**:了解Snort的工作原理及其核心组件,如预处理器(Preprocessors)、解码器(Decoders)等。 ##### 1.2 嗅探器...
「干货」Snort使用手册「详细版」
热门推荐
橙留香Park的博客
01-21 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
教你如何抓取Https的包(超详细过程,带图)
weixin_42667687的博客
05-05 6477
一、首先在fiddler官网下载抓包工具; 1)官网网址为:https://www.telerik.com/fiddler ; 2)网盘下载:https://pan.baidu.com/s/1T3Ms7shTNpZOvuGhfs2EVQ 提取码:tgcs 二、下载之后安装, 1)点击“Tools->Fiddler Options”: 2)选中“HTTPS”,对“Decrypt HTTPStraffic”进行打钩,后面的也可以全部勾上,最后点击“OK”按钮 三、设置完成后,务必重新启动fiddle
Ubuntu 18.04.6 TLS上部署snort3(2023年1月5日)
shen5528744的博客
01-11 540
Ubuntu 18.04.6 TLS上部署snort3,对网上教程的补充和修订
Snort3:开发环境(二)
魔神8号的博客
11-15 436
不会影响编译。这是因为tcm、和jem两个变量未定义和初始化导致。在合适的位置增加两行tcm=0tcm=0即可thenexit 2fi。
Snort入门:安装配置与规则解析
Snort是一个开源的网络入侵检测系统,由Martin Roesch创立的Snort Team开发,版本为2.9.7.6。它主要利用libpcap数据包嗅探器和日志记录工具,通过基于规则的模式匹配来检测网络中的入侵和异常行为。Snort的核心组成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值