Snort的安装和使用介绍.docVIP

安装方法：如果你安装好了libpcap后，对snort安装将是很简单，关于libpcap的安装说明，你可以看看blackfire(/~bobdai/的一些文章，关于WINDOWS下的winpcap你可以看我站上的SNIFFER FOR NT上的安装说明。装好libpcap后，你可以使用通常的命令：1.) ./configure 2.) make3.) make install装好后你可以使用make clean清除一些安装时候产生的文件。（有些系统如freebsd已经支持了libpcap，所以很轻松，不用再装了）。而WINDOWS更简单，只要解包出来就可以了；参数介绍：命令行是snort -[options] filters选项：-A alert 设置alert的模式是full,fast,还是none full模式是记录标准的alert模式到alert文件中；Fast模式只写入时间戳，messages, IPs,ports到文件中，None模式关闭报警。-a 是显示ARP包；-b 是把LOG的信息包记录为TCPDUMP格式，所有信息包都被记录为两进制形式，名字如snort-0612@1385.log，这个选项对于FAST 记录模式比较好，因为它不需要花费包的信息转化为文本的时间。Snort在100Mbps网络中使用-b比较好。 -c cf 使用配置文件cf,这个规则文件是告诉系统什么样的信息要LOG，或者要报警，或者通过。 -C 在信息包信息使用ASCII码来显示，而不是hexdump， -d 解码应用层。-D 把snort以守护进程的方法来运行，默认情况下ALERT记录发送 到/var/log/snort.alert文件中去。-e 显示并记录2个信息包头的数据。 -F bpf从bpf文件中读BPF过滤器（filters），这里的filters是标准的BPF格式过滤器，你可以在TCPDump里看到，你可以查看TCPDump 的man页怎样使用这个过滤器。-h hn设置网络地址，如一个C类IP地址或者其他的，使用这个 选项，会使用箭头的方式数据进出的方向。-I if 使用网络接口参数if -l ld LOG信息包记录到ld目录中去。-M wkstn 发送WinPopup信息到包含wkstn文件中存在的工作站列表中去，这选项需要Samba的支持，wkstn文件很简单，每一行只要添加包含 在SMB中的主机名即可。（注意不需要\\两个斜杠）。-n num 是指定在处理num个数据包后退出。 -N 关闭LOG记录，但ALERT功能仍旧正常。-o 改变所采用的记录文件，如正常情况下采用Alert-Pass-Log order，而采用此选项是这样的顺序：Pass-Alert-Log order，其中Pass 是那些允许通过的规则而不记录和报警，ALERT是不允许通过的规则，LOG指LOG记录，因为有些人就喜欢奇奇怪怪，象CASPER，QUACK就喜欢 反过来操作。 -p 关闭杂乱模式嗅探方式，一般用来更安全的调试网络。-r tf 读取tcpdump方式产生的文件tf,这个方法用来处理如 得到一个Shadow(Shadow IDS产生)文件，因为这些文件不能用一般的EDIT来编辑查看。 -s LOG 报警的记录到syslog中去，在LINUX机器上，这些警告信息会出现在/var/log/secure,在其他平台上将出现在/var/log/message中去。-S n=v这个是设置变量值，这可以用来在命令行定义Snort rules文件中的变量，如你要在Snort rules文件中定义变量HOME_NET,你 可以在命令行中给它预定义值。-v 使用为verbose模式，把信息包打印在console中，这个选项使用后 会使速度很慢，这样结果在记录多的是时候会出现丢包现象。-V 显示SNORT版本并退出； -？ 显示使用列表并退出；----------------------------------------------------------------------下面是一些命令的组合介绍，当然更多的组合你可以自己去测试： Snort存在比较多的命令选项和参数，先来介绍一些基本的一些命令，如果你想要把信息包的头显示在屏幕上，你可以使用：./snort -v这个命令会运行Snort和显示IP和TCP/UDP/ICMP头信息。我使用了ping 就显示了如下信息：06/10-10:21:13.884925 - ICMP TTL:64 TOS:0x0 ID:4068ID:20507 Seq:0 ECHO06/10-10:21:13.885081 -ICMP TTL:128 TOS:0x0