Snort官方版是款針對(duì)電腦安全所打造的網(wǎng)絡(luò)入侵檢測(cè)以及預(yù)防系統(tǒng)。Snort主要適用于監(jiān)視網(wǎng)絡(luò)傳輸量的網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng),就是幫助用戶捕捉從外部網(wǎng)絡(luò)上下載到本地的數(shù)據(jù)包。Snort中還有三種工作模式:嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。華軍軟件園提供Snort的下載服務(wù),下載Snort其他版本,請(qǐng)到華軍軟件園!
Snort軟件介紹
Snort有 三種工作模式:嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模式。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù) 據(jù)包記錄到硬盤上。網(wǎng)路入侵檢測(cè)模式分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則,并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模式是最復(fù)雜的,而且是可 配置的。
Snort可以用來監(jiān)測(cè)各種數(shù)據(jù)包如端口掃描等之外,還提供了以XML形式或數(shù)據(jù)庫形式記錄日志的各種插件。
Snort主要指令
order改變規(guī)則順序( snort -o )
alertfile建立警告輸出檔,例如:config alertfile: alertlog
classification將規(guī)則分類。
decode_arp開啟arp解碼功能。 (snort -a)
dump_chars_only開啟字元擷取功能。 (snort -C)
dump_payload擷取應(yīng)用層資料。 (snort -d)
decode_data_link解碼資料連結(jié)層的標(biāo)頭檔。 (snort -e)
bpf_file指定BPF篩檢程式(snort -F)。例如:config bpf_file: filename.bpf
set_gid改變GID (snort -g)。例如:config set_gid: snort_group
daemon以背景方式執(zhí)行。 (snort -D)
reference_net設(shè)置該區(qū)域的網(wǎng)路。 (snort -h)。例如:config reference_net:192.168.1.0/24
interface設(shè)置網(wǎng)路介面(snort –i)。例如:config interface: xl0
alert_with_interface_name警示時(shí)附加上介面資訊。 (snort -I)
logdir設(shè)置記錄目錄(snort -l)。例如:config logdir: /var/log/snort
umask設(shè)置snort輸出檔的權(quán)限。 (snort -m). Example: config umask: 022
pkt_count處理n個(gè)封包后,退出。 (snort -n). Example: config pkt_count: 13
nolog關(guān)閉記錄功能(警示仍然運(yùn)作)。 (snort -N)
quiet安靜模式,不顯示狀態(tài)報(bào)告。 (snort -q)
checksum_mode計(jì)算checksum的協(xié)定類型。類型值:none, noip, notcp, noicmp, noudp, all
utc在時(shí)間紀(jì)錄上,用UTC時(shí)間代替本地時(shí)間。 (snort -U)
verbose將詳細(xì)記錄資訊列印到標(biāo)準(zhǔn)輸出。 (snort -v)
dump_payload_verbose擷取資料連結(jié)層的封包( snort -X )
show_year在時(shí)間紀(jì)錄上顯示年份。 (snort -y)
stateful為stream4設(shè)置保證模式。
min_ttl設(shè)置一個(gè)snort內(nèi)部的ttl值以忽略所有的流量。
disable_decode_alerts關(guān)閉解碼時(shí)發(fā)出的警示。
disable_tcpopt_experimental_alerts關(guān)閉tcp實(shí)驗(yàn)選項(xiàng)所發(fā)出的警示。
disable_tcpopt_obsolete_alerts關(guān)閉tcp過時(shí)選項(xiàng)所發(fā)出的警示。
disable_tcpopt_ttcp_alerts關(guān)閉ttcp選項(xiàng)所發(fā)出的警示。
disable_tcpopt_alerts關(guān)閉選項(xiàng)長度確認(rèn)警示。
disable_ipopt_alerts關(guān)閉IP選項(xiàng)長度確認(rèn)警示。
detection配置偵測(cè)引擎。 (例如:search-method lowmem)
reference幫Snort加入一個(gè)新的參考系統(tǒng)。
Snort安裝步驟
1、在華軍軟件園將Snort下載下來,并解壓到當(dāng)前文件夾中,點(diǎn)擊其中的Snort_2_9_8_0_Installer.exe應(yīng)用程序,進(jìn)入許可協(xié)議界面,接著點(diǎn)擊i agree。
2、選擇軟件安裝位置界面,華軍小編建議用戶們安裝在D盤中,選擇好安裝位置點(diǎn)擊下一步。
3、Snort安裝結(jié)束,點(diǎn)擊close即可。
Snort使用方法
使用Snort進(jìn)行入侵檢測(cè)方法
1.實(shí)驗(yàn)環(huán)境
2.實(shí)驗(yàn)步驟
第1步:在192.168.10.5上安裝Snort。到http://www.snort.org/上下載snort-2.8.6.tar.gz和snortrules-pr-2.4.tar.gz。安裝Snort之前先下載并且安裝libpcap-devel、pcre和pcre-devel。將snort-2.8.6.tar.gz解壓后進(jìn)入snort-2.8.6,然后依次執(zhí)行如下命令:
[root@localhost snort-2.8.6]#./configure
[root@localhost snort-2.8.6]#make
[root@localhost snort-2.8.6]#make install
[root@localhost snort-2.8.6]#mkdir -p /etc/snort/rules
[root@localhost snort-2.8.6]#cp etc/*.conf /etc/snort
[root@localhost snort-2.8.6]#cp etc/*.config /etc/snort
[root@localhost snort-2.8.6]#cp etc/unicode.map /etc/snort
[root@localhost snort-2.8.6]#mkdir /var/log/snort
將snortrules-pr-2.4.tar.gz解壓后,將其中的規(guī)則文件全部復(fù)制到/etc/snort/rules下。編輯/etc/snort/snort.conf文件,將“var RULE_PATH ../rules”改為“var RULE_PATH /etc/snort/rules”。編輯/etc/snort/rules/icmp.rules文件
第2步:在192.168.10.5上啟動(dòng)snort進(jìn)行入侵檢測(cè),執(zhí)行的命令如下:
[root@localhost ~]# snort -i eth1 -c/etc/snort/snort.conf -A fast -l /var/log/snort/
第3步:在192.168.10.1上的終端窗口中執(zhí)行ping 192.168.10.5命令,如圖5-49所示,然后再使用端口掃描工具對(duì)192.168.10.5進(jìn)行端口掃描,如圖5-50所示。
第4步:在192.168.10.5上分析檢測(cè)數(shù)據(jù),如圖5-51所示,前4行對(duì)應(yīng)與第3步的ping命令,第6行表明192.168.10.1對(duì)192.168.10.5進(jìn)行了端口掃描。
Snort常見問題
問:windows下snort怎樣啟動(dòng)和退出?
答:假設(shè)你的snort.exe位于d:snortbinsnort.exe。按以下步驟:
開始——運(yùn)行——cmd——d:——cd snortbin——snort
但snort一般都是配合命令來dao用的,要加一些選項(xiàng)才有效果。如(這里的路徑是我電腦上的):
snort -c c:snortetcsnort.conf -l c:snortlogs -d -e -v
如果要結(jié)束,可以用Ctrl+c,則退出snort。
問:Snort可以監(jiān)控其他的主機(jī)嗎?
答:snort是可以監(jiān)視其他主機(jī),但是你要監(jiān)視的主機(jī)需要跟你裝snort的主機(jī)在一個(gè)網(wǎng)段,因?yàn)閟nort是把網(wǎng)卡設(shè)為雜湊模式,實(shí)現(xiàn)對(duì)網(wǎng)卡抓包的。
同類軟件對(duì)比
91網(wǎng)絡(luò)檢測(cè)官方版是一款好用的網(wǎng)絡(luò)檢測(cè)軟件,91網(wǎng)絡(luò)檢測(cè)最新版支持配置程序標(biāo)題、窗口界面調(diào)整、自行添加多行服務(wù)器等功能,通過91網(wǎng)絡(luò)檢測(cè)用戶可以實(shí)時(shí)監(jiān)測(cè)當(dāng)前網(wǎng)絡(luò)連接某個(gè)游戲或者某個(gè)網(wǎng)站的延遲,判斷自己的網(wǎng)絡(luò)是否出現(xiàn)了問題。
AdapterWatch是一款能夠幫助使用者徹底了解所使用的網(wǎng)絡(luò)卡的相關(guān)信息的小工具,它能夠顯示網(wǎng)絡(luò)卡的硬件信息、IP 地址、各種服務(wù)器地址等信息,讓使用者更了解自己的網(wǎng)絡(luò)設(shè)定。
華軍小編推薦:
Snort主要適用于監(jiān)視網(wǎng)絡(luò)傳輸量的網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng),就是幫助用戶捕捉從外部網(wǎng)絡(luò)上下載到本地的數(shù)據(jù)包。非常不錯(cuò)的一款Snort,使用方便,功能強(qiáng)大,需要的不要錯(cuò)過哦。
您的評(píng)論需要經(jīng)過審核才能顯示
有用
有用
有用