荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: georgehill (人生不定式), 信区: Linux
标  题: Snort的使用(转寄)
发信站: BBS 荔园晨风站 (Fri Sep  8 17:51:10 2000), 站内信件

【 以下文字转载自 georgehill 的信箱 】
【 原文由 georgehill.bbs@smth.org 所发表 】
发信人: xuzq (奔腾), 信区: Security
标  题: Snort的使用(转寄)
发信站: BBS 水木清华站 (Thu Sep  7 15:45:58 2000)


*翻译自:usage
*2000/8/30 陈永智(cyz@chinasafer.com)
******************************************************************************
*

                        HOW TO USE SNORT!

Snort并不难用,但是它有许多命令行选项要对付,而且哪些选项应该配合使用并不明显
,本文目标是让新手容易使用snort。

首先,让我们从基础开始。如果你只是想把包的头打印到屏幕上,就输入:

./snort -v

这个命令将运行snort 并且把ip和tcp/udp/icmp头显示在屏幕上,其他都不干。如果你想
看解码后的应用层,输入:

./snort -vd

这个命令告诉snort显示包的头部和数据。如果你想显示更详细些,显示以太网帧头部,
输入:

./snort -vde

(废话一句,这些开关可以分开,也可以任意组合,最后一个命令也可以输入如下:

./snort -d -v -e

一样!!)

Ok,所有这些命令都很酷,但是他们实际上不在磁盘上记录任何包,为了记录,你需要指
定一个日志目录:

./snort -dev -l ./log

当然,这假设你在当前目录下有一个名为"log"的目录

如果你只指定"-l"开关,你会注意到snort有时会记录远端计算机的的包,有时则记录本
地主机的包。为了记录本地主机,你需要告诉snort哪个网络是本地网络(home network
):

./snort -dev -l ./log -h 192.168.1.0/24

这个规则告诉snort你希望把以太帧头和应用层数据记录到目录./log中,并且你希望记录
的包是192.168.1.0的
c类网络上的。所有的进入此网络的包都被记录在log目录的子目录下,这些子目录的名字
基于远端主机(非192.168.1)的地址。注意如果两个主机都在本地网络上,那么子目录
的名字基于两个端口号的大者,如果一样大,就取源地址。


如果你想使用一个规则文件(这样就不会把所有的包都记录下来了),输入:

./snort -dev -l ./log -h 192.168.1.0/24 -c snort-lib

其中snort-lib是你的规则文件的名字。该文件中的规则集将被使用来决定每个包是否被
记录。

要注意的是:如果snort要 作为一个ids长期运行,命令中的-v开关要去掉,因为打印到
屏幕会降低速度,在显示到屏幕上时可能会丢包。

对于大多数应用,也不必要记录以太帧头部,所以一般使用snort的开关如下:

./snort -d -h 192.168.1.0/24 -l ./log -c snort-lib

如果你想处理tcpdump(或者shadow ids)产生的文件,除了正常的选项外,再加上"-r"
开关。这个开关告诉snort从指定的文件读取包,而不是从网络上取包。这样就可以利用
snort的规则检查tcpdump(或者shadow ids)产生的文件的内容。例如:

./snort -d -h 192.168.1.0/24 -l ./log -c snort-lib -r tcpdump_file

有人不喜欢snort施加规则的默认顺序,其默认顺序是:首先应用alert规则,然后是pass
最后是log规则。这个顺序有些违反人的直觉,但能够避免一些错误:例如你写了100条
alert规则,然后不小心用一条pass规则把它们都废球掉了,多亏啊。对于自信的人,用
-o开关改变默认的规则使
用顺序,首先是pass,然后是alert,最后是log。如下:

./snort -d -h 192.168.1.0/24 -l ./log -c snort-lib -o

最后(到目前为止),如果你想把alert消息传送到syslog中,你可以使用-s开关,如下


./snort -d -h 192.168.1.0/24 -l ./log -c snort-lib -s

这样,当警告产生时,它们将出现在syslog中,而不是alert文件中。


好了,就这些了,如果你有进一步的问题关于snort,就发信给roesch@clark.net

作者:Marty Roesch 6/21/99
译者:chenyongzhi 2000/8/30

UPDATE 9/17/99

性能配置!!如果你希望snort跑的快一些(跟的上100M的网络),使用-b和-A或者-s(
syslog)选项。这样将按照tcpdump的格式记录日志,并产生最少的警告。例如:

./snort -b -A fast -c snort-lib
这样,snort能够记录一个100 Mbps的LAN在饱和速度(大约80mbps)下多个同时的探测和
攻击事件。这时日志被按照二进制格式记录在tcpduam格式的snort日志文件中。要读这个
文件,用-r开关:

./snort -d -c snort-lib -l ./log -h 192.168.1.0/24 -r snort.log

这样,所有的数据都会存在日志目录中,就象正常的解码后的格式一样


--

※ 来源:·BBS 水木清华站 smth.org·[FROM: 210.73.88.186]
--
※ 转载:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.1.115]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店