Snort的使用方法
安装Snort
Snort是基于libpcap的,一般操作系统安装的时候,libpcap已经默认安装了,如果没
有安装,可以到下载。Snort的安装步骤如下:
1.分别执行指令:mkdir Snortinstall和cd Snortinstall;
2.从 下载Snort-2.0.0.tar.gz和Snortrules.tar.tz到新建的目录中,可以通过浏览器或者wget下载;
3.分别执行如下指令:tar -zxvf Snort-2.0.0.tar.gz;cd Snort-2.0.0;
./configure;make;make install。
Snort使用
这里通过使用常见的观察主机是否存活的Ping命令来介绍Snort的具体使用。执行命令“./Snort -v”,运行Snort和显示IP和TCP/UDP/ICMP头信息。笔者使用命令:“ping 192.168.0.1”,显示如下信息:
06/10-10:21:13.884925 192.168.0.2 -> 192.168.0.1
ICMP TTL:64 TOS:0x0 ID:4068
ID:20507 Seq:0 ECHO
06/10-10:21:13.885081 192.168.0.1 -> 192.168.0.2
ICMP TTL:128 TOS:0x0 ID:15941
ID:20507 Seq:0 ECHO REPLY
06/10-10:21:14.884874 192.168.0.2 -> 192.168.0.1
ICMP TTL:64 TOS:0x0 ID:4069
ID:20507 Seq:256 ECHO
06/10-10:21:14.885027 192.168.0.1 -> 192.168.0.2
ICMP TTL:128 TOS:0x0 ID:15942
ID:20507 Seq:256 ECHO REPLY
如果想要解码应用层,就执行命令“Snort -d”,然后执行“ping 192.168.0.1”,就可以显示如下信息:
06/10-10:26:39.894493 192.168.0.2 -> 192.168.0.1
ICMP TTL:64 TOS:0x0 ID:4076
ID:20763 Seq:0 ECHO
58 13 42 39 E0 BB 05 00 08 09 0A 0B 0C 0D 0E 0F X.B9............
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !"#$%&'()*+,-./
30 31 32 33 34 35 36 37 01234567
06/10-10:26:39.894637 192.168.0.1 -> 192.168.0.2
ICMP TTL:128 TOS:0x0 ID:15966
ID:20763 Seq:0 ECHO REPLY
58 13 42 39 E0 BB 05 00 08 09 0A 0B 0C 0D 0E 0F X.B9............
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !"#$%&'()*+,-./
30 31 32 33 34 35 36 37 01234567
如果要看到更详细的关于以太网帧头的信息,就要使用“Snort -vde” 命令,然后执行“ping 192.168.0.1”就可以显示相应信息。