這里主要是要了解幾個(gè)重要的參數(shù)
-A 設(shè)置報(bào)警模式,是快速,完全,或者是控制臺,亦或是不報(bào)警
-a 捕獲ARP包
-b 使用tcpdump的格式來寫入日志
-c 指定配置文件路徑
-d 捕獲應(yīng)用層數(shù)據(jù)
-D 后臺運(yùn)行snort
-e 顯示第二層頭信息
-h 設(shè)置監(jiān)聽主機(jī)
-m 設(shè)置掩碼
-z 只匹配已經(jīng)完全建立鏈接的會話
我一般是使用
snort -A fast -Db -e -z來運(yùn)行snort的
其他還有一些很有用的參數(shù),而且可以在配置文件那讓snort把日志寫到mysql數(shù)據(jù)庫,這樣對日志的處理就可以很方便了
如果需要知道更加多的信息,可以去www.snort.org看doc,或者看man page
這里先截取一個(gè)日志片段來說明一些問題
11/13-05:29:27.429801 UDP src: 24.24.146.64 dst: 202.196.64.30 sport: 1028 dport: 137 tgts: 6 ports: 6 event_id: 0
11/13-05:29:27.759801 UDP src: 24.24.146.64 dst: 202.196.64.32 sport: 1028 dport: 137 tgts: 7 ports: 7 event_id: 471
11/13-05:29:34.279801 UDP src: 24.24.146.64 dst: 202.196.64.72 sport: 1028 dport: 137 tgts: 8 ports: 8 event_id: 471
11/13-05:29:34.449801 UDP src: 24.24.146.64 dst: 202.196.64.73 sport: 1028 dport: 137 tgts: 9 ports: 9 event_id: 471
11/13-05:29:37.549801 UDP src: 24.24.146.64 dst: 202.196.64.92 sport: 1028 dport: 137 tgts: 10 ports: 10 event_id: 471
11/13-05:29:41.989801 UDP src: 24.24.146.64 dst: 202.196.64.119 sport: 1028 dport: 137 tgts: 11 ports: 11 event_id: 471
11/13-05:29:42.139801 UDP src: 24.24.146.64 dst: 202.196.64.120 sport: 1028 dport: 137 tgts: 12 ports: 12 event_id: 471
這段日志告訴我
今天早上5點(diǎn)左右,有個(gè)IP是24.24.146.64的朋友,在掃描202.196.64網(wǎng)段的共享或者是在使用一些低級的操作系統(tǒng)鑒別工具來鑒別這個(gè)網(wǎng)段的操作系統(tǒng)類型(因?yàn)楦呒壍南到y(tǒng)指紋鑒別系統(tǒng)是不會掃描137端口的)
詳細(xì)的分析一條日志吧
11/13-05:29:27.429801 UDP src: 24.24.146.64 dst: 202.196.64.30 sport: 1028 dport: 137 tgts: 6 ports: 6 event_id: 0
UDP是使用的協(xié)議
SRC是源IP
DST是目標(biāo)IP
SPORT是源端口
DPORT是目標(biāo)端口
根據(jù)上面的內(nèi)容再結(jié)合攻擊手段的特征,很容易就可以發(fā)現(xiàn)對方在做什么了
