Snort用户手册:网络入侵检测系统指南
需积分: 0 99 浏览量
更新于2024-07-17
收藏 1.29MB PDF 举报
Snort 使用手册
Snort 是一款功能强大的网络入侵检测系统(NIDS),可以实时监控网络流量,检测潜在的安全威胁。下面是 Snort 使用手册的概要信息:
Snort 概述
Snort 是一个开源的网络入侵检测系统,由 Martin Roesch 创建,现由 Cisco sở hữu。Snort 可以实时监控网络流量,检测潜在的安全威胁,并提供详细的日志记录和警报信息。
Snort 工作模式
Snort 有四种工作模式:Sniffer 模式、Packet Logger 模式、Network Intrusion Detection System 模式和 Packet Acquisition 模式。
* Sniffer 模式:Snort 监控网络流量,检测潜在的安全威胁,并提供详细的日志记录和警报信息。
* Packet Logger 模式:Snort 记录网络流量中的所有数据包,用于离线分析和检测。
* Network Intrusion Detection System 模式:Snort 实时监控网络流量,检测潜在的安全威胁,并提供详细的日志记录和警报信息。
* Packet Acquisition 模式:Snort 从网络流量中捕获数据包,用于离线分析和检测。
Snort 配置
Snort 的配置文件通常位于 /etc/snort/ 目录下,用户可以根据需要编辑配置文件来自定义 Snort 的行为。Snort 也支持多种数据包捕获方式,包括 pcap、AFPACKET、NFQ、IPQ、IPFW 和 Dump 等。
Snort 命令行参数
Snort 支持多种命令行参数,用户可以使用这些参数来自定义 Snort 的行为。例如,-c 选项用于指定配置文件的路径,-l 选项用于指定日志文件的路径。
Snort 输出
Snort 的输出包括 Timing Statistics、Packet I/O Totals、Protocol Statistics、Snort Memory Statistics 等多种信息。用户可以根据需要自定义 Snort 的输出格式和内容。
Snort 的 tunneling 协议支持
Snort 支持多种 tunneling 协议,包括 GRE、IPsec 等。用户可以根据需要配置 Snort 来支持多种 tunneling 协议。
Snort 是一个功能强大且灵活的网络入侵检测系统,用户可以根据需要自定义 Snort 的行为和配置来满足不同的安全需求。
1.5.3 AFPACKET
afpacket fun ctions similar to the memory mapped pcap DAQ but no extern a l library is requir ed:
./snort --daq afpacket -i <device>
[--daq-var buffer_size_mb=<#MB>]
[--daq-var debug]
If you want to ru n afpacket in inline mode, you must set device to one or more interface pairs, where each member of
a pair is separated by a single colon and each pair is separate d by a double colon like this:
eth0:eth1
or this:
eth0:eth1::eth2:eth3
By default, the afpacket DAQ allo cates 128MB for packet memory. You can change this with:
--daq-var buffer_size_mb=<#MB>
Note that the total allocated is actua lly higher, here’s why. Assuming the default packet memo ry with a snaplen of
1518, the nu mbers break down like this:
1. The frame size is 1518 (snaplen) + the size of the AFPacket header (66 bytes) = 1584 bytes.
2. The num ber of frames is 128 MB / 1518 = 84733.
3. The smallest block size that can fit at least one frame is 4 KB = 4096 bytes @ 2 frames per block.
4. A s a result, we need 84733 / 2 = 42366 blocks.
5. A ctual memory allocated is 42366 * 4 KB = 165.5 MB.
1.5.4 NFQ
NFQ is the new and improved way to process iptables packets:
./snort --daq nfq \
[--daq-var device=<dev>] \
[--daq-var proto=<proto>] \
[--daq-var queue=<qid>] \
[--daq-var queue_len=<qlen>]
<dev> ::= ip | eth0, etc; default is IP injection
<proto> ::= ip4 | ip6 | ip*; default is ip4
<qid> ::= 0..65535; default is 0
<qlen> ::= 0..65535; default is 0
Notes on ipta bles can be f ound in the DAQ distro README.
15
剩余268页未读,继续阅读
2020-06-30 上传
2023-06-08 上传
2023-06-07 上传
2023-10-13 上传
2023-10-19 上传
2023-08-23 上传
2023-12-07 上传
sundayycc
- 粉丝: 0
- 资源: 2
我的内容管理
展开
最新资源
- 深入浅出:自定义 Grunt 任务的实践指南
- 网络物理突变工具的多点路径规划实现与分析
- multifeed: 实现多作者间的超核心共享与同步技术
- C++商品交易系统实习项目详细要求
- macOS系统Python模块whl包安装教程
- 掌握fullstackJS:构建React框架与快速开发应用
- React-Purify: 实现React组件纯净方法的工具介绍
- deck.js:构建现代HTML演示的JavaScript库
- nunn:现代C++17实现的机器学习库开源项目
- Python安装包 Acquisition-4.12-cp35-cp35m-win_amd64.whl.zip 使用说明
- Amaranthus-tuberculatus基因组分析脚本集
- Ubuntu 12.04下Realtek RTL8821AE驱动的向后移植指南
- 掌握Jest环境下的最新jsdom功能
- CAGI Toolkit:开源Asterisk PBX的AGI应用开发
- MyDropDemo: 体验QGraphicsView的拖放功能
- 远程FPGA平台上的Quartus II17.1 LCD色块闪烁现象解析
