基本指令:侦测模式
若你想要在萤幕上显示网路封包的标头档(header)内容,使用
./snort -v
如果想要在萤幕上显示正在传输的封包标头档内容,使用
./snort -vd
如果除了以上显示的内容之外,欲另外显示数据链路层(Data link layer)的资料的话,使用
./snort -vde
下面来通过实例来进一步了解snort
1、首先把需要的软件包传到linux主机,并安装
rpm -ivh snort-2.8.0.1-1.RH5.i386.rpm
2、测试
snort -vde -l ./ &>/dev/null & (监测信息不输送在屏幕上,并且在后台运行)
Ping该主机
查看本目录下已经存在该日志文件
读取日志需要指令才行
snort -r snort.log.1383150726 |less
Snort最重要的用途还是作为网络入侵检测
若欲使用入侵侦测模式,就得使用下面的指令
./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf
其中snort.conf是封包的签章档案,里边定义了扫描的规则、规则存放的目录.....
vim /etc/snort/snort.conf
但是一般情况下该目录下并没有入侵规则库,这时候需要我们去添加这些入侵规则库(需要注意的是入侵规则库的版本号要与snort的版本号相同)
tar -zxvf snortrules-snapshot-2.8.tar.gz -C /etc/snort/
再次查看就有了
