Snort+中文手册.doc资源-CSDN文库

Snort+中文手册.doc

需积分: 12 31 浏览量 2010-02-07 17:54:33 上传评论收藏 110KB DOC 举报

资源推荐

资源详情

资源评论

Snort 中文手册

摘要

 有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器

模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记

录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配

置的。我们可以让  分析网络数据流以匹配用户定义的一些规则，并根据

检测结果采取一定的动作。

Snort 用户手册



第一章 snort 简介

 有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探

器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包

记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可

配置的。我们可以让  分析网络数据流以匹配用户定义的一些规则，并根

据检测结果采取一定的动作。

嗅探器

所谓的嗅探器模式就是  从网络上读出数据包然后显示在你的控制台上。

首先，我们从最基本的用法入手。如果你只要把  包头信息打印在屏幕上，

只需要输入下面的命令：

　　

使用这个命令将使  只输出  和  的包头信息。如果你

要看到应用层的数据，可以使用：

　　

这条命令使  在输出包头信息的同时显示包的数据信息。如果你还要显

示数据链路层的信息，就使用下面的命令：

　　

注意这些选项开关还可以分开写或者任意结合在一块。例如：下面的命令就

和上面最后的一条命令等价：

　　

数据包记录器

如果要把所有的包记录到硬盘上，你需要指定一个日志目录， 就会自

动记录数据包：

　　

当然， 目录必须存在，否则  就会报告错误信息并退出。当 

在这种模式下运行，它会记录所有看到的包将其放到一个目录中，这个目录以

数据包目的主机的  地址命名，例如：!

　　如果你只指定了 命令开关，而没有设置目录名， 有时会使用远程主

机的  地址作为目录，有时会使用本地主机  地址作为目录名。为了只对本地

网络进行日志，你需要给出本地网络：

　　 "!#

这个命令告诉  把进入  类网络 ! 的所有包的数据链路、

 以及应用层的数据记录到目录 中。

如果你的网络速度很快，或者你想使日志更加紧凑以便以后的分析，那么应

该使用二进制的日志文件格式。所谓的二进制日志文件格式就是 $%&'% 程

序使用的格式。使用下面的命令可以把所有的包记录到一个单一的二进制文件

中：

　　 (

注意此处的命令行和上面的有很大的不同。我们勿需指定本地网络，因为所

有的东西都被记录到一个单一的文件。你也不必冗余模式或者使用、 功能

选项，因为数据包中的所有内容都会被记录到日志文件中。

你可以使用任何支持 $%&'% 二进制格式的嗅探器程序从这个文件中读出

数据包，例如： $%&'% 或者 )"*。使用 功能开关，也能使  读

出包的数据。 在所有运行模式下都能够处理 $%&'% 格式的文件。例

如：如果你想在嗅探器模式下把一个 $%&'% 格式的二进制文件中的包打印

到屏幕上，可以输入下面的命令：

　　%*$+

在日志包和入侵检测模式下，通过 ,-,.*$+-/接口，你可以

使用许多方式维护日志文件中的数据。例如，你只想从日志文件中提取 

包，只需要输入下面的命令行：

　　%*$+ /$'%

网络入侵检测系统

 最重要的用途还是作为网络入侵检测系统0.，使用下面命令行可

以启动这种模式：

　　 "!#$$1

$1 是规则集文件。 会对每个包和规则集进行匹配，发现这样

的包就采取相应的行动。如果你不指定输出目录， 就输出到* 

 目录。

注意：如果你想长期使用  作为自己的入侵检测系统，最好不要使用

选项。因为使用这个选项，使  向屏幕上输出一些信息，会大大降低

 的处理速度，从而在向显示器输出的过程中丢弃一些包。

此外，在绝大多数情况下，也没有必要记录数据链路层的包头，所以 选项

也可以不用：

　　"!# $$1

这是使用  作为网络入侵检测系统最基本的形式，日志符合规则的包，

以 2. 形式保存在有层次的目录结构中。

网络入侵检测模式下的输出选项

在 0. 模式下，有很多的方式来配置  的输出。在默认情况下，

 以 2. 格式记录日志，使用 1& 报警机制。如果使用 1& 报警机制，

 会在包头之后打印报警消息。如果你不需

要日志包，可以使用0 选项。

 有  种报警机制：1&、1*、$+、3 、'(4/%%&%

和 。其中有 # 个可以在命令行状态下使用2 选项设置。这 # 个是：

 21*：报警信息包括：一个时间戳/'*'%、报警消息、源目

的  地址和端口。

21&：是默认的报警模式。

2&$+：把报警发送到一个 05 套接字，需要有一个程序进行监

听，这样可以实现实时报警。

2：关闭报警机制。

使用 选项可以使  把报警消息发送到 3 ，默认的设备是

67892:;< 和 678926);。可以修改 $1 文件修改其配置。

 还可以使用 ., 报警机制，通过 .2,2 把报警消息发送到

=/4 主机。为了使用这个报警机制，在运行$> & 脚本时，必须使

用*('(* 选项。

下面是一些输出配置的例子：

使用默认的日志方式以解码的 2. 格式并且把报警发给 3 ：

$$1 "!#

使用二进制日志格式和 ., 报警机制：　　

$$1(=7;?.270.

第二章编写 snort 规则

基础

 使用一种简单的，轻量级的规则描述语言，这种语言灵活而强大。在

开发  规则时要记住几个简单的原则。

第一，大多数  规则都写在一个单行上，或者在多行之间的行尾用分

隔。. 规则被分成两个逻辑部分：规则头和规则选项。规则头包含规则的

动作，协议，源和目标 /% 地址与网络掩码，以及源和目标端口信息；规则选项

部分包含报警消息内容和要检查的包的具体部分。

下面是一个规则范例：

*$%*3*3@!#$AB!*CBAD

' A'&*$$AD

第一个括号前的部分是规则头（&"*），包含的括号内的部分是规

则选项（&%/）。规则选项部分中冒号前的单词称为选项关键字

（%/+34）。注意，不是所有规则都必须包含规则选项部分，选项

部分只是为了使对要收集或报警，或丢弃的包的定义更加严格。组成一个规则

的所有元素对于指定的要采取的行动都必须是真的。当多个元素放在一起时，

可以认为它们组成了一个逻辑与（20）语句。同时， 规则库文件中的

不同规则可以认为组成了一个大的逻辑或（7;）语句。

规则高级概念

剩余34页未读，继续阅读

评论收藏

内容反馈

harriet11

粉丝: 0
资源: 1

Snort+中文手册.doc

Snort中文手册.doc

Snort 中文手册

Snort＋Iptables+Guardian构建主动防火墙.pdf

Snort IDS+Snort2.9.20+规则文档（windows11适用，但需要修改conf）

apache+mysql+php+snort+base实现snort

Snort中文手册.pdf

Snort中文手册

Snort_中文手册

Snort 中文手册 强大的说明文档

Snort详细安装步骤.doc

搭建snort+base入侵检测系统需要的所有安装包

CentOS-snort+guardian详细安装方法

snort-2.8.4.1.tar.gz

基于snort技术分析.doc

Snort中文手册PDF

apache+snort+mysql+base汉语版安装方法

Snort 2.1 Intrusion Detection.pdf

snort入侵检测系统方案.doc

用Snort探测轻型侵入.php

Snort 2.0 Intrusion Detection.rar

网络入侵检测系统(Snort)研究.doc

snort源代码分析.pdf

Java第十五届蓝桥杯大赛软件JavaB组真题

SwitchHosts

最新资源

Snort 中文手册强大的说明文档