Snort-開源網路入侵檢測工具
Snort是一個開源,輕量級的網路入侵檢測程序,適用於Windows和Linux平台。它能夠在互聯網協議(TCP/IP)網路上執行實時流量分析和數據包記錄。
它可以檢測各種攻擊和探測,包括但不限於操作系統指紋嘗試,公共網關介面,緩衝區溢出,伺服器消息塊探測和隱形埠掃描。
Snort可以配置為以三種模式運行:
嗅探器模式 -它 從網路中讀取數據包,並在控制台(屏幕)上以連續流的形式顯示它們。
數據包記錄器模式 -它將數據包記錄 到磁碟。
網路入侵檢測系統(NIDS)模式 -對網路流量執行檢測和分析。這是最複雜和可配置的模式。
嗅探器模式
如果您只想將TCP / IP數據包標題列印到屏幕(即嗅探模式),請嘗試以下操作:
./snort -v
這個命令將運行Snort並只顯示IP和TCP / UDP / ICMP頭,沒有別的。
如果您想查看傳輸中的應用程序數據,請嘗試以下操作:
./snort -vd
這指示Snort顯示分組數據以及標題。
如果您需要更具描述性的顯示,請顯示數據鏈接層標題,請執行以下操作:
./snort -vde
注意:命令行開關可以單獨列出或以組合形式列出。
最後的命令也可以如下輸入,以產生相同的結果:
./snort -d -v -e
數據包記錄器模式
如果你想把數據包記錄到磁碟上,你需要指定一個日誌目錄,Snort會自動進入數據包記錄器模式:
./snort -dev -l ./log
當然,這假設你在當前目錄中有一個名為log的目錄。如果你不這樣做,Snort將退出並顯示一條錯誤消息。當Snort以這種模式運行時,它會收集它看到的每個數據包,並根據數據報中的某個主機的IP地址將數據包放入目錄層次結構中。
如果您只是指定了一個普通的-l開關,您可能會注意到Snort有時使用遠程計算機的地址作為其放置數據包的目錄,有時使用本地主機地址。為了記錄相對於家庭網路,你需要告訴Snort哪個網路是家庭網路:
./snort -dev -l ./log -h 192.168.1.0/24
這個規則告訴Snort你想把數據鏈接和TCP / IP頭以及應用程序數據列印到目錄./log中,並且你想記錄相對於192.168.1.0 C類網路的數據包。所有傳入的數據包將被記錄到日誌目錄的子目錄中,目錄名稱基於遠程(非192.168.1)主機的地址。
注意:如果源主機和目標主機都位於家庭網路中,則它們會根據兩個埠號中較高的一個或兩個埠號中的較高者登錄到一個目錄,或者在綁定時指定源地址。
如果您使用的是高速網路,或者希望將數據包記錄為更緊湊的形式以供日後分析,則應考慮以二進位模式登錄。二進位模式將tcpdump格式的數據包記錄到日誌目錄中的單個二進位文件中:
./snort -l ./log -b
注意命令行在這裡改變。我們不需要再指定一個家庭網路,因為二進位模式會將所有內容記錄到一個文件中,從而無需告訴它如何格式化輸出目錄結構。此外,您不需要以詳細模式運行或指定-d或-e開關,因為在二進位模式下,整個數據包都會被記錄,而不僅僅是部分。將Snort放入記錄器模式所需要做的只是使用-l開關在命令行中指定一個日誌記錄目錄 - -b二進位日誌記錄開關僅提供一個修改器,告訴Snort將數據包記錄在純ASCII文本的默認輸出格式。
下載地址:https://www.snort.org/downloads#snort
僅供於學習研究使用,不得非法使用,如非法操作,責任自行承擔
你可能喜歡
TAG:黑白之道 |