假如你安装好了libpcap后,对snort安装将是很简朴,关于libpcap的安装说明,你可以看看blackfire(http://go.163.com/~bobdai/的一些文章,关于WINDOWS下的winpcap你可以看我站上的SNIFFERFORNT上的安装说明。装好libpcap后,你可以利用凡是的呼吁:
1.)./configure
2.)make
3.)makeinstall
装好后你可以利用makeclean排除一些安装时候发生的文件。(有些系统如freebsd已经支持了libpcap,所以很轻松,不消再装了)。
而WINDOWS更简朴,只要解包出来就可以了;
参数先容:
呼吁行是snort-[options]
选项:
-A配置的模式是full,fast,照旧none;full模式是记录尺度的alert模式到alert文件中;Fast模式只写入时间戳,messages,IPs,ports到文件中,None模式封锁报警。
-a是显示ARP包;
-b是把LOG的信息包记录为TCPDUMP名目,所有信息包都被记录为两进制形式,名字如[email protected],这个选项对付FAST记录模式较量好,因为它不需要耗费包的信息转化为文本的时间。
Snort在100Mbps网络中利用"-b"较量好。
-c利用设置文件,这个法则文件是汇报系统什么样的信息要LOG,可能要报警,可能通过。
-C在信息包信息利用ASCII码来显示,而不是hexdump,
-d解码应用层。
-D把snort以守护历程的要领来运行,默认环境下ALERT记录发送到/var/log/snort.alert文件中去。-e显示并记录2个信息包头的数据。
-F从文件中读BPF过滤器(filters),这里的filters是尺度的BPF名目过滤器,你可以在TCPDump里看到,你可以查察TCPDump的man页奈何利用这个过滤器。
-h配置网络地点,如一个C类IP地点192.168.0.1可能其他的,利用这个选项,会利用箭头的方法数据收支的偏向。-I利用网络接口参数
-lLOG信息包记录到目次中去。
-M发送WinPopup信息到包括文件中存在的事情站列表中去,这选项需要Samba的支持,wkstn文件很简朴,每一行只要添加包括
在SMB中的主机名即可。(留意不需要两个斜杠)。
-n是指定在处理惩罚个数据包退却出。
-N封锁LOG记录,但ALERT成果仍旧正常。
-o改变所回收的记录文件,如正常环境下回收Alert->Pass->Logorder,而回收此选项是这样的顺序:Pass->Alert->Logorder,个中Pass是那些答允通过的法则而不记录和报警,ALERT是不答允通过的法则,
指LOG记录,因为有些人就喜欢奇奇怪怪,象CASPER,QUACK就喜欢反过来操纵。
-p封锁混乱模式嗅探方法,一般用来更安详的调试网络。
-r读取tcpdump方法发生的文件,这个要领用来处理惩罚如获得一个Shadow(ShadowIDS发生)文件,因为这些文件不能用一般的EDIT来编辑查察。
-sLOG报警的记录到syslog中去,在LINUX呆板上,这些告诫信息会呈此刻/var/log/secure,在其他平台大将呈此刻/var/log/message中去。
-S这个是配置变量值,这可以用来在呼吁行界说Snortrules文件中的变量,如你要在Snortrules文件中界说变量HOME_NET,你可以在呼吁行中给它预界说值。
-v利用为verbose模式,把信息包打印在console中,这个选项利用后会使速度很慢,香港站群服务器
美国服务器,这样功效在记录多的是时候会呈现丢包现象。
-V显示SNORT版本并退出;
-?显示利用列表并退出;
下面是一些呼吁的组合先容,虽然更多的组合你可以本身去测试:
Snort存在较量多的呼吁选项和参数,先来先容一些根基的一些呼吁,假如你想要把信息包的头显示在屏幕上,你可以利用:
./snort-v
这个呼吁会运行Snort和显示IP和TCP/UDP/ICMP头信息。我利用了ping192.168.0.1就显示了如下信息:
06/10-10:21:[email protected];192.168.0.1
ICMPTTL:64TOS:0x0ID:4068
ID:20507Seq:0ECHO
06/10-10:21:[email protected];192.168.0.2
ICMPTTL:128TOS:0x0ID:15941
ID:20507Seq:0ECHOREPLY
06/10-10:21:[email protected];192.168.0.1
ICMPTTL:64TOS:0x0ID:4069
ID:20507Seq:256ECHO
06/10-10:21:[email protected];192.168.0.2
ICMPTTL:128TOS:0x0ID:15942
ID:20507Seq:256ECHOREPLY
假如你想要解码应用层,就利用:
snort-vd
再次利用ping192.168.0.1就显示了如下信息:
06/10-10:26:[email protected];192.168.0.1
ICMPTTL:64TOS:0x0ID:4076
ID:20763Seq:0ECHO
58134239E0BB050008090A0B0C0D0E0FX.B9............
101112131415161718191A1B1C1D1E1F................
202122232425262728292A2B2C2D2E2F!"#$%&()*+,-./
303132333435363701234567
06/10-10:26:[email protected];192.168.0.2
ICMPTTL:128TOS:0x0ID:15966
ID:20763Seq:0ECHOREPLY
58134239E0BB050008090A0B0C0D0E0FX.B9............
101112131415161718191A1B1C1D1E1F................
202122232425262728292A2B2C2D2E2F!"#$%&()*+,-./
303132333435363701234567
假如要看到更具体的关于有关ethernet头的信息,就要利用:
snort-vde
