Snort的使用一：安装、嗅探与记录

一、Snort简述

Snort是一个一个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统，即NIDS/NIPS。

1、工作模式

Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。

1、嗅探：嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。
2、数据包记录：数据包记录器模式把数据包记录到硬盘上。
3、网络入侵检测：网络入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

在使用Snort时，会自动将网卡设置成混杂模式

二、Snort下载安装

<本次实验在win7虚拟机上进行>

32位系统在安装使用Snort时，必须安装WinpCap

Snort下载链接：https://www.snort.org/downloads#snort-downloads

WinpCap下载链接：https://www.winpcap.org/install/default.htm


安装即可（为方便之后实验，强烈建议装于C盘根目录）

三、嗅探与数据记录

1、嗅探

在Snort的bin目录下打开cmd

输入 snort -W 查看当前网卡

嗅探网卡1：Snort -v -i1

用另一台主机ping该主机

已有数据包显示

ctrl + c 终止后，可查看数据包分析

2、数据包记录

Snort目录下默认有log文件夹，可将日志直接保存至此文件夹下

使用 Snort -dve -i1 -h 192.168.88.0/24 -l c:\Snort\log -K ascii 来记录数据包
其中

-dve 表示详细嗅探模式
-h 表示监控的主机网段 当不指定时表示本机ip
-l 表示记录日志 内容是存储位置
-K 表示字符集 以ascii字符集存储

任意访问网页，已有抓包结果


查看文件内容，即为数据头

链接：Snort的使用二：入侵检测