数据包记录器模式

本文共有1436个字,关键词:snort数据包记录器

数据包记录器模式

好的,所有这些命令都很酷,但是如果您想将数据包记录到磁盘,您需要指定一个日志目录,Snort将自动知道如何进入数据包记录器模式:

snort -dev -l ./log

当然,这假设您在当前目录中有一个名为log的目录。如果没有,Snort将抛出错误消息并退出。当Snort在此模式下运行时,它会收集它看到的每个数据包 ,并根据数据报中某个主机的IP地址将其置于目录层次结构中。

如果您只是指定一个 -l 开关,您可能会注意到Snort有时使用远程计算机的地址作为它放置数据包的目录,有时它使用本地主机。为了相对于家庭网络进行日志记录,需要告诉Snort哪个网络是家庭网络:

snort -dev -l ./log -h 192.168.1.0/24

此规则告诉Snort,您希望将数据链接和TCP/IP报头以及应用程序数据打印到./log目录中,并且希望记录相对于192.168.1.0 C类网络的数据包。 网络所有传入的数据包将被记录到日志目录的子目录中,目录名基于远程(非192.168.1)主机的地址。

请注意,如果源主机和目标主机都在主网络上,则它们被记录到一个具有基于两个端口号中较高的名称的目录,或者,如果是领带,则是源。 地址。

如果您在高速网络上,或者希望将数据包记录到一个更紧凑的表单中,以便以后进行分析,那么您应该考虑以二进制模式记录。二进制模式以tcpdump格式记录数据包到日志目录中的单个二进制文件:

snort -l ./log -b

注意,命令行在这里更改。我们不再需要指定家庭网络,因为二进制模式将所有内容都记录到单个文件中,这样就不需要告诉它如何格式化输出目录结构了。此外,您不需要在详细模式下运行,也不需要指定-d或-e开关,因为在二进制模式下,整个数据包都会被记录,而不仅仅是其中的部分。要将Snort放入记录器模式,您真正需要做的就是使用-l开关-b二进制日志记录开关在命令行指定一个日志目录,它只是提供了一个修饰符。 Snort将数据包记录为非普通ASCII文本的默认输出格式。

一旦数据包被记录到二进制文件中,您就可以使用任何支持tcpdump二进制格式的嗅探器 ( 例如tcpdump或 Ethereal ) 将数据包从文件中读取回来。Snort可以 使用-r开关将数据包读取回来,从而使其进入回放模式.来自任何TCPdump格式化文件的数据包可以在任何运行模式下通过Snort进行处理。例如,如果你 想要在Sniffer模式下通过Snort运行二进制日志文件以将数据包转储到屏幕上,您可以尝试如下所示:

snort -dv -r packet.log

您可以通过Snort的数据包记录和入侵检测模式以及命令行提供的BPF接口,以多种方式操作文件中的数据。例如,如果您只想从日志文件中看到ICMP数据包,只需在命令行中指定一个BPF过滤器,那么Snort将只看到文件中的ICMP数据包:

snort -dvr packet.log icmp

有关如何使用BPF接口的更多信息,请阅读Snort和TCPdump手册页。

「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」

阿恒

(๑>ڡ<)☆谢谢老板~

使用微信扫描二维码完成支付

添加新留言
暂无留言