snort-安装-使用-截图.docVIP

Snort 在1998年,Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GUN General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它.snort基于libpcap。 目录 简介 相关条目 基本指令 封包记录模式 基本指令 入侵侦测模式 主要指令 　　Snort有 三种工作模式： 嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在 终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最 复杂的，而且是可配置的。我们可以让snort分析网络 数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。 　　Snort最重要的用途还是作为网络入侵检测系统(NIDS)。 　　使用简介 　　Snort并非复杂难以操作的软体。 Snort可以三个模式进行运作： 　　侦测模式（Sniffer Mode）：此模式下，Snort将在现有的网域内撷取封包，并显示在萤幕上。封包纪录模式（packet logger mode）：此模式下，Snort将已撷取的封包存入储存媒体中（如硬碟）。上线模式（inline mode）：此模式下，Snort可对撷取到的封包做分析的动作，并根据一定的规则来判断是否有网路攻击行为的出现。 　　基本指令：侦测模式 　　若你想要在萤幕上显示网路封包的标头档（header）内容，请使用 　　./snort -v 　　如果想要在萤幕上显示正在传输的封包标头档内容，请使用 　　./snort -vd 　　如果除了以上显示的内容之外，欲另外显示资料连结层（Data link layer）的资料的话，请使用 　　./snort -vde 封包记录模式 　　在记录封包之前，您必须先指定一个目录来储存该资料。举例而言，若您在您目前的目录下建立了一个名为log的目录，欲存纪录资料于该目录下的话，请使用 　　./snort -dev -l ./log 　　若想要以二进位码（binary code）的方式来储存封包资料的话，请使用 　　./snort -l ./log -b 　　若欲读取某已储存的封包记录档案（假设其档名为packet.log），请使用 　　./snort -dvr packet.log 　　若欲读取该档案中特定网路协定的资讯（假设是tcp协定），请使用 　　./snort -dvr packet.log tcp 入侵侦测模式 　　若欲使用入侵侦测模式，请使用 　　./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf 　　其中snort.conf是封包的签章档案 　　若不需要得知资料连结层的资讯，请使用 　　./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf 　　以下是Snort在入侵侦测模式的指令选项： 　　-A fast快速警告模式 　　-A full完整警告模式（预设） 　　-A unsock将警告讯息送至UNIX的socket上，供其他装置检视 　　-A none关闭警告功能 　　-A console将警告讯息送至终端机（Console） 　　线上模式 　　封包的抓取不透过libcap，而是透过 防火墙，并可告知防火墙是否让此封包通过。启用线上模式使用./snort -Qd -h 192.168.0.0/16 -l ./log -c snort.conf 　　防火墙的设定 　　* Linux 　　o iptables -t nat -A PREROUTING -j QUEUE 　　编辑Snort侦测规则 　　以下是一种编辑侦测规则（Snort rule）的例子： 　　alert tcp any any -192.168.1.0/24 111 　　依次分为以下几个部份： 　　标头 　　标头的部份指的是此规则欲执行的动作。以上的例子为alert，即警示。完整的标头选项列表如下： 　　alert产生警示 　　log纪录该封包 　　pass忽略该封包 　　acti