snort 命令解析

snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。
 

 

嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。
 
数据包记录器模式把数据包记录到硬盘上。
 
网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。
 

 

嗅探器
 
所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。
 
首先，我们从最基本的用法入手。如果你只要把TCP/IP包头信息打印在屏幕上，只需要输入下面的命令：
 
　　./snort -v
 
使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。如果你要看到应用层的数据，可以使用：
 
　　./snort -vd
 
这条命令使snort在输出包头信息的同时显示包的数据信息。如果你还要显示数据链路层的信息，就使用下面的命令：
 
　　./snort -vde
 
注意这些选项开关还可以分开写或者任意结合在一块。例如：下面的命令就和上面最后的一条命令等价：
 
　　./snort -d -v –e