Snort 入侵检测
一.检测模式:
snort 有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅
探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据
包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是
可配置的。
二.具体模式及命令:
1.嗅探器模式就是snort从网络上读出数据包然后显示在控制台上。
把TCP/IP包头信息打印在屏幕上,需要输入下面的命令:
./snort -v
使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。如果要
看到应用层的数据,可以使用:
./snort –vd
2. 数据包记录器
如果要把所有的包记录到硬盘上,需要指定一个日志目录,snort就会自
动记录数据包:
./snort -dev -l ./log
./log目录必须存在,否则snort就会报告错误信息并退出。当snort在这种
模式下运行,它会记录所有看到的包将其放到一个目录中,这个目录以
数据包目的主机的IP地址命名。
3. 网络入侵检测系统
snort最重要的用途还是作为网络入侵检测系统(NIDS),使用下面命令行可
以启动这种模式:
./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf
snort.conf是规则集文件。snort会对每个包和规则集进行匹配,发现这
样的包就采取相应的行动。如果不指定输出目录,snort就输出到/var/lo
g/snort目录。
三.报警机制:
snort有6种报警机制:
full、fast、socket、syslog、smb(winpopup)和none。
-A fast 快速报警模式,以一种简单的格式记录报警信息(时间、报
警信息、源和目的主机的IP和端口)
-A full 这是默认的报警模式,如果没有指定报警模式,将自动使用这种
报警模式
-A unsock 发送报警信息到一个其它程序监听UNIX套接口
-A none 关闭报警
-A console 打印快速报警信息到控制台(屏幕)
-A cmg 触发“cmg样式”报警
使用-s选项可以使snort把报警消息发送到syslog,默认的设备是LOG_AU
THPRIV和LOG_ALERT。可以修改snort.conf文件修改其配置。
此外,snort还可以使用SMB报警机制,通过SAMBA把报警消息发送到Wi
ndows主机。为了使用这个报警机制,在运行./configure脚本时,必须使
用--enable-smbalerts选项。