snort三种工作模式详解

snort有三种工作方式:嗅探器,数据包记录器和网络入侵检测系统.

 

嗅探器

输入命令: “#snort -v”,即可把TCP/IP包头信息打印在屏幕上,为了方便查看,可以把结果输出到文件中,详情请见文件snort_v.txt,这里只给出部分截图:

如果想(1)看到应用层和数据链路层的数据; (2)把所有的包记录到硬盘上;(3)只对本地网络进行日志.可以使用命令:”# snort -dev -l ./log -h10.1.0.0/8”,详情请见文件snort.log.1432557776.这里用命令”#snort -dv -rsnort.log.1432557776”把上面tcpdump格式的二进制文件中的包打印到屏幕上,见部分截图:

 

如果只想从日志文件中提取出UDP包,可以输入:”# snort -dvr snort.log.1432557776 udp”,这里只给出其中一个包的截图:

 

 

网络入侵检测系统

 

使用snort作为网络入侵系统最基本的形式,可以输入上面的命令:

看看结果如何:

可以看到,已经成功启动,这里要注意,路径中不能有中文,否则会提示”没有alert文件或文件夹”的奇怪错误.