afterinitialization-TTestandreportonthecurrentSnortconfiguration
-uRunsnortuidasuser(oruid)afterinitialization
-UUseUTCfortimestamps
-vBeverbose
-VShowversionnumber
-wDump802.11managementandcontrolframes
-XDumptherawpacketdatastartingatthelinklayer
-yIncludeyearintimestampinthealertandlogfiles
-ZSettheperformonitorpreprocessorfilepathandname
-?
Showthisinformation
arestandardBPFoptions,asseeninTCPDump
Longnameoptionsandtheircorrespondingsinglecharversion
--logid<0xid>Sameas-G
--perfmon-fileSameas-Z
--pid-pathSpecifythepathfortheSnortPIDfile
--snaplenSameas-P
--helpSameas-?
--versionSameas-V
--alert-before-passProcessalert,drop,sdrop,orrejectbeforepass,
defaultispassbeforealert,drop,...
--treat-drop-as-alertConvertsdrop,sdrop,andrejectrulesintoalert
rulesduringstartup
--process-all-eventsProcessallqueuedevents(drop,alert,...),
defaultstopsafter1stactiongroup
--dynamic-engine-libLoadadynamicdetectionengine
--dynamic-engine-lib-dirLoadalldynamicenginesfromdirectory
--dynamic-detection-libLoadadynamicruleslibrary
--dynamic-detection-lib-dirLoadalldynamicruleslibrariesfrom
directory
--dump-dynamic-rulesCreatesstubrulefilesofallloadedruleslibraries
--dynamic-preprocessor-libLoadadynamicpreprocessorlibrary
--dynamic-preprocessor-lib-dirLoadalldynamicpreprocessorlibrariesfrom
directory
--dump-dynamic-preproc-genmsgCreatesgen-msg.mapfilesofallloaded
preprocessorlibraries
--create-pidfileCreatePIDfile,evenwhennotinDaemonmode
--nolock-pidfileDonottrytolockSnortPIDfile
--disable-inline-initializationDonotperformtheIPTablesinitializationininline
mode.
--loopIncombinationwiththe-roption,
thiswillreadthetcpdumpfilecontinuously
fortimes.Avalueof0willreadthepcap
untilSnortiskilled.
ERROR:
Uh,youneedtotellmetodosomething...
FatalError,Quitting..
最后出现了错误,但在这个过程中完成了一些重要的事情:
1.它确认了Snort二进制文件已正确安装到了您的路径中。
这也就是说,您可以从计算机的任何目录运行它。
2.它为您提供了关于Snort版本及其相关库的重要信息。
请注意靠近输出顶端的这段输出内容:
,_-*>Snort!
<*-
o")~Version2.8.0.2(Build75)
''''ByMartinRoesch&TheSnortTeam:
http:
//www.snort.org/team.html
(C)Copyright1998-2007SourcefireInc.,etal.
UsingPCREversion:
7.62008-01-28
3.
这使您可以轻而易举地看到正在运行的Snort和PCRE的版本。
4.它为您提供了可向Snort发送的简单命令纲要。
使用Snort进行嗅探
您知道,Snort是一种入侵检测系统,但它是如何检测入侵的呢?
Snort(和大多数高端IDS)都会嗅探网络流量。
嗅探器是一种工具或设备(带有网卡),用于监控计算机之间的网络流量。
有些嗅探器是“第三方”,嗅探外部机器与嗅探器本身之间的流量。
也有一些嗅探器会嗅探网络和嗅探器本身所在计算机之间的流量。
在下一期的文章中,我们将进一步介绍嗅探,如果您目前对嗅探有不明确的地方,请不要担心。
目前,嗅探是一种简单而有用的方法,能够确保Snort已安装且能够正常工作,能够监控网络流量。
使用-v标记运行snort命令,这告知Snort嗅探网络流量,将信息输出到控制台。
清单8展示了在MacOSX机器上运行snort-v的输出结果。
清单8.使用Snort进行嗅探
[bdm0509:
~]snort-v
Runninginpacketdumpmode
--==InitializingSnort==--
InitializingOutputPlugins!
VerifyingPreprocessorConfigurations!
***
***interfacedevicelookupfound:
en0
***
InitializingNetworkInterfaceen0
ERROR:
Youdon'thavepermissiontosniff.
Trydoingthisasroot.
FatalError,Quitting..
是的,这是一个错误,在这里输出有一个重要的目的:
Snort需要广泛的权限来完成大量工作。
嗅探是一项基本操作,但毫无疑问,如果没有root权限,没有使用sudo的能力,就很难充分利用Snort。
尝试相同的命令,但这一次在超级用户的账户下运行。
您应看到类似于清单9的输出结果。
必须使用Ctrl+C退出,否则Snort将一直运行。
清单9.使用Snort进行嗅探(成功的结果)
[bdm0509:
~]sudosnort-v
Password:
Runninginpacketdumpmode
--==InitializingSnort==--
InitializingOutputPlugins!
VerifyingPreprocessorConfigurations!
***
***interfacedevicelookupfound:
en0
***
InitializingNetworkInterfaceen0
DecodingEthernetoninterfaceen0
--==InitializationComplete==--
,_-*>Snort!
<*-
o")~Version2.8.0.2(Build75)
''''ByMartinRoesch&TheSnortTeam:
http:
//www.snort.org/team.html
(C)Copyright1998-2007SourcefireInc.,etal.
UsingPCREversion:
7.62008-01-28
NotUsingPCAP_FRAMES
03/31-08:
55:
12.179192192.168.1.102:
64862->239.255.255.253:
427
UDPTTL:
1TOS:
0x0ID:
10292IpLen:
20DgmLen:
64
Len:
36
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
03/31-08:
55:
12.179498192.168.1.102:
64863->239.255.255.253:
427
UDPTTL:
1TOS:
0x0ID:
10293IpLen:
20DgmLen:
64
Len:
36
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
03/31-08:
55:
12.180121192.168.1.102:
64864->239.255.255.253:
427
UDPTTL:
1TOS:
0x0ID:
10294IpLen:
20DgmLen:
64
Len:
36
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
03/31-08:
55:
12.180278192.168.1.102:
64865->239.255.255.253:
427
UDPTTL:
1TOS:
0x0ID:
10295IpLen:
20DgmLen:
64
Len:
36
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
03/31-08:
55:
12.247880192.168.1.102:
64866->192.168.1.255:
137
UDPTTL:
64TOS:
0x0ID:
10296IpLen:
20DgmLen:
78
Len:
50
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
03/31-08:
55:
12.248297192.168.1.103:
137->192.168.1.102:
64866
UDPTTL:
64TOS:
0x0ID:
8075IpLen:
20DgmLen:
90
Len:
62
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
03/31-08:
55:
12.599248192.168.1.102:
55381->192.168.1.101:
139
TCPTTL:
64TOS:
0x0ID:
10297IpLen:
20DgmLen:
64DF
******S*Seq:
0x42127B5EAck:
0x0Win:
0xFFFFTcpLen:
44
TCPOptions(8)=>MSS:
1460NOPWS:
0NOPNOPTS:
14283682320
TCPOptions=>SackOKEOL
...
LOTSmoreoutputhere
...
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+