如果你安装好了libpcap后,对snort安装将是很简单,关于libpcap的安装说明,你可以看看blackfire(http://go.163.com/~bobdai/的一些文章,关于WINDOWS下的winpcap你可以看我站上的SNIFFERFORNT上的安装说明。装好libpcap后,你可以使用通常的命令:
1.)./configure
2.)make
3.)makeinstall
装好后你可以使用makeclean清除一些安装时候产生的文件。(有些系统如freebsd已经支持了libpcap,所以很轻松,不用再装了)。
而WINDOWS更简单,只要解包出来就可以了;
参数介绍:
命令行是snort-[options]
选项:
-A设置的模式是full,fast,还是none;full模式是记录标准的alert模式到alert文件中;Fast模式只写入时间戳,messages,IPs,ports到文件中,None模式关闭报警。
-a是显示ARP包;
-b是把LOG的信息包记录为TCPDUMP格式,所有信息包都被记录为两进制形式,名字如[email protected],这个选项对于FAST记录模式比较好,因为它不需要花费包的信息转化为文本的时间。
Snort在100Mbps网络中使用"-b"比较好。
-c使用配置文件,这个规则文件是告诉系统什么样的信息要LOG,或者要报警,或者通过。
-C在信息包信息使用ASCII码来显示,而不是hexdump,
-d解码应用层。
-D把snort以守护进程的方法来运行,默认情况下ALERT记录发送到/var/log/snort.alert文件中去。-e显示并记录2个信息包头的数据。
-F从文件中读BPF过滤器(filters),这里的filters是标准的BPF格式过滤器,你可以在TCPDump里看到,你可以查看TCPDump的man页怎样使用这个过滤器。
-h设置网络地址,如一个C类IP地址192.168.0.1或者其他的,使用这个选项,会使用箭头的方式数据进出的方向。-I使用网络接口参数
-lLOG信息包记录到目录中去。
-M发送WinPopup信息到包含文件中存在的工作站列表中去,这选项需要Samba的支持,wkstn文件很简单,每一行只要添加包含
在SMB中的主机名即可。(注意不需要两个斜杠)。
-n是指定在处理个数据包后退出。
-N关闭LOG记录,但ALERT功能仍旧正常。
-o改变所采用的记录文件,如正常情况下采用Alert->Pass->Logorder,而采用此选项是这样的顺序:Pass->Alert->Logorder,其中Pass是那些允许通过的规则而不记录和报警,ALERT是不允许通过的规则,
指LOG记录,因为有些人就喜欢奇奇怪怪,象CASPER,QUACK就喜欢反过来操作。
-p关闭杂乱模式嗅探方式,一般用来更安全的调试网络。
-r读取tcpdump方式产生的文件,这个方法用来处理如得到一个Shadow(ShadowIDS产生)文件,因为这些文件不能用一般的EDIT来编辑查看。
-sLOG报警的记录到syslog中去,在LINUX机器上,这些警告信息会出现在/var/log/secure,在其他平台上将出现在/var/log/message中去。
-S这个是设置变量值,这可以用来在命令行定义Snortrules文件中的变量,如你要在Snortrules文件中定义变量HOME_NET,你可以在命令行中给它预定义值。
-v使用为verbose模式,把信息包打印在console中,这个选项使用后会使速度很慢,这样结果在记录多的是时候会出现丢包现象。
-V显示SNORT版本并退出;
-?显示使用列表并退出;
下面是一些命令的组合介绍,当然更多的组合你可以自己去测试:
Snort存在比较多的命令选项和参数,先来介绍一些基本的一些命令,如果你想要把信息包的头显示在屏幕上,你可以使用:
./snort-v
这个命令会运行Snort和显示IP和TCP/UDP/ICMP头信息。我使用了ping192.168.0.1就显示了如下信息:
06/10-10:21:[email protected];192.168.0.1
ICMPTTL:64TOS:0x0ID:4068
ID:20507Seq:0ECHO
06/10-10:21:[email protected];192.168.0.2
ICMPTTL:128TOS:0x0ID:15941
ID:20507Seq:0ECHOREPLY
06/10-10:21:[email protected];192.168.0.1
ICMPTTL:64TOS:0x0ID:4069
ID:20507Seq:256ECHO
06/10-10:21:[email protected];192.168.0.2
ICMPTTL:128TOS:0x0ID:15942
ID:20507Seq:256ECHOREPLY
如果你想要解码应用层,就使用:
snort-vd
再次使用ping192.168.0.1就显示了如下信息:
06/10-10:26:[email protected];192.168.0.1
ICMPTTL:64TOS:0x0ID:4076
ID:20763Seq:0ECHO
58134239E0BB050008090A0B0C0D0E0FX.B9............
101112131415161718191A1B1C1D1E1F................
202122232425262728292A2B2C2D2E2F!"#$%&()*+,-./
303132333435363701234567
06/10-10:26:[email protected];192.168.0.2
ICMPTTL:128TOS:0x0ID:15966
ID:20763Seq:0ECHOREPLY
58134239E0BB050008090A0B0C0D0E0FX.B9............
101112131415161718191A1B1C1D1E1F................
202122232425262728292A2B2C2D2E2F!"#$%&()*+,-./
303132333435363701234567
如果要看到更详细的关于有关ethernet头的信息,就要使用:
snort-vde
使用ping192.168.0.1就显示了如下信息:
[email protected];[email protected];*-
Version1.6-WIN32
ByMartinRoesch([email protected],www.clark.net/~roesch)
WIN32PortByMichaelDavis([email protected],www.datasurge.net/~mike)
06/10-10:32:01.3459620:60:94:F9:5E:[email protected];0:50:BA:BB:4A:54type:0x800len:0x62
[email protected];192.168.0.1ICMPTTL:64TOS:0x0ID:4079
ID:21787Seq:0ECHO
99144239474C0C0008090A0B0C0D0E0F..B9GL..........
101112131415161718191A1B1C1D1E1F................
202122232425262728292A2B2C2D2E2F!"#$%&()*+,-./
303132333435363701234567
06/10-10:32:01.3461640:50:BA:BB:4A:[email protected];0:60:94:F9:5E:17type:0x800len:0x62
[email protected];192.168.0.2ICMPTTL:128TOS:0x0ID:16090
ID:21787Seq:0ECHOREPLY
99144239474C0C0008090A0B0C0D0E0F..B9GL..........
101112131415161718191A1B1C1D1E1F................
202122232425262728292A2B2C2D2E2F!"#$%&()*+,-./
303132333435363701234567
当然上面的一些命令你只是在屏幕上看到,如果要记录在LOG文件上,你可以先建立一个log目录,在使用下面的命令:
./snort-dev-l./log-h192.168.0.1/24
这个命令就使Snort把ethernet头信息和应用层数据记录到./log目录总去了,并记录的是关于192.168.0.1CLASSC的信息,
如果你想利用一些规则文件(一些记录特定数据的规则文件,如SYNATTACK等记录)就使用:
./snort-dev-l./log-h192.168.1.0/24-csnort-lib
这里的Snort-lib是你的规则文件的文件名,这将采用snort-lib文件中设置的规则来决定是否记录某个信息包。而
./snort-d-h192.168.1.0/24-l./log-csnort-lib可以不记录一些ethernet头信息如,我用./nmap -sS192.168.0.1-p21就在/log/alert.ids中记录如下信息:
[**]IDS246-MISC-LargeICMPPacket[**]
06/12-13:48:[email protected];192.168.0.2
ICMPTTL:128TOS:0x0ID:36579
ID:46802Seq:0ECHOREPLY
我故意使用了rules出现的规则php.cgi/?,如192.168.0.1/cgi-bin/php.cgi/?,就显示:
[**]IDS232-WEB-CGI-PHPCGIaccessattempt[**]
06/12-13:53:35.106323192.168.0.2:[email protected];192.168.0.1:80
TCPTTL:64TOS:0x0ID:8945DF
*****PA*Seq:0xA070C880Ack:0xF113872Win:0x7D78
./snort-d-h192.168.1.0/24-l./log-csnort-lib-s就会把日志记录在你规则文件中所定义的LOG文件中,而不是默认的alert.ids中。
./snort-d-h192.168.1.0/24-l./log-csnort-lib-o此命令是读规则文件的顺序,有些人很奇怪,需要先读允许的规则文件,再读alert规则文件,然后来LOG记录,那就按照上面的命令来操作。如果你的网络请求相当多,你可以使用:
./snort-b-Afast-csnort-lib
这样,每一条规则内的警告消息就分开记录,对于多点同步探测和攻击的记录可以不容易丢包。当然这样记录的LOG文件是两进制的,类似与tcpdump的格式,你可以使用这样的方法来查看
这些LOG:
./snort-d-csnort-lib-l./log-h192.168.1.0/24-rsnort.log
最后讲将规则文件中的选项的意义,这些就不翻译了,因为偶比较愚钝,有些东西翻不正确:
[email protected];messagetooutputinthealert/logfiles
[email protected];TCPflags,use0fornoflagsatall
[email protected];theTTLvalueyouwanttokeyon(niceforcatchingtraceroutes)
[email protected];thepacketapplicationlayer,lookforbufferoverflowshere
[email protected];theNUMBERoftheICMPtype
[email protected];theNUMBERoftheICMPcode
[email protected];minimumfragmentpayloadsize
[email protected];tcpsequencenumber
[email protected];tcpacknumber
[email protected];IPheaderfragmentIDnumber
[email protected];filetologspecificalertsto
[email protected];matchonthepacketpayloadsize
[email protected];[email protected];[email protected];bytesintothepayload
[email protected];[email protected];[email protected];bytesintothepayloadforapatternmatch
[email protected];recordthesessiontrafficfromcleartextprotocolslike
#ftportelnet
[email protected];checkforaspecificIPoption
---------------------------------------------------------------------------
参考:www.snort.org
