Snort总结-三种运行模式

Snort有三种主要模式：sniffer，packet logger，network intrusion detection system。sniffer模式只是简单地从网络上抓取数据包并在终端显示出来；packet logger模式可把数据包保存在磁盘中；network intrusion detection模式是最复杂，具有高可配置性。它可使Snort根据用户定义的规则分析网络流量，并作出反应。
1.1. Sniffer Mode

首先，让我们从最基础开始，如果你只是想在屏幕上打印出TCP/IP包的头信息，可以用以下命令：

snort -v

这条命令只是显示IP和TCP/UDP/ICMP数据包的头信息，其它就没有了。如果你想显示数据包的头信息，并且想显示应用程序传输的数据，可用以下命令：

snort -vd

如果你还想显示链路层的信息，如网卡Mac地址，可用以下命令：

snort -vde

1.2. Packet Logger Mode

如果你想把数据包信息存在磁盘上，就要用Packet Logger Mode。用以下命令可使Snort自动把数据包信息存到磁盘中：

snort -vde -l log_directory

log_directory目录需先建好，否则snort会出错。当snort运行在该模式下时，它会把所有抓取的数据包按IP分类地存放到log_directory中。

可用-h指定本地网络，以使snort记录与本地网络相关的数据包。

snort -vde -l log_directory -h 192.168.1.0/24

如果你在一个高速网络中，或者你想记录数据包以备日后分析，你就可以二进制方式记录数据包，在这里不用指定-vde，因为二进制方式将记录整个包的信息。如：

snort -l log_directory -b

二进制模式把数据包存成tcpdump格式。可用tcpdmup、Ethereal和snort相看。如：

snort -dv -r snort.log

1.3. Network Intrusion Detection Mode

用以下命令开启NIDS模式：

snort -dev -l log_directory -h 192.168.1.0/24 -c snort.conf

snort.conf是规则集配置文件，为了不影响NIDS速度，我们可把-v和-e选项取消。如：

snort -d -l log_directory -h 192.168.1.0/24 -c snort.conf

log_directory目录下会生成alter日志，记录入检测的警报信息。