Snort安裝使用中文手冊1.2 Snort 網絡入侵檢測系統模式
要啟用網絡入侵檢測系統(NIDS)模式,以便不記錄網絡上發送的每個單個數據包,請嘗試以下操作:
./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf其中snort.conf是您的snort配置文件的名稱。這會將snort.conf文件中配置的規則應用于每個數據包,以決定是否應基于文件中的規則類型采取措施。如果未為程序指定輸出目錄,則默認為 /var/log/snort。
關于最后一個命令行要注意的一件事是,如果長期使用Snort作為IDS,則為了提高速度,應該將-v開關置于命令行之外。屏幕是寫入數據的緩慢地方,在寫入顯示器時可以丟棄數據包。
對于大多數應用程序,也不必記錄數據鏈接頭,因此通常也可以省略-e開關。
./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf 這會將Snort配置為以其最基本的NIDS形式運行,使用分層目錄結構(就像數據包記錄器模式一樣),將觸發snort.conf中指定規則的數據包以純ASCII格式記錄到磁盤。
1.4.1 NIDS模式輸出選項
有多種方法可以在NIDS模式下配置Snort的輸出。默認的日志記錄和警報機制是以解碼的ASCII格式登錄并使用完整警報。完整警報機制除了完整的數據包標頭外,還打印出警報消息。在命令行上還有其他幾種警報輸出模式,以及兩種日志記錄功能。
警報模式稍微復雜一些。命令行提供了七個警報模式:完全,快速,套接字,系統日志,控制臺,cmg和none。使用-A命令行開關可以訪問其中的六個模式。這些選項是:
| 選項 | 描述 |
|---|---|
-A fast |
快速警報模式。以簡單的格式寫入警報,其中包含時間戳,警報消息,源IP地址和目標IP /端口。 |
-A full |
完全警報模式。這是默認的警報模式,如果您未指定模式,它將自動使用。 |
-A unsock |
將警報發送到另一個程序可以監聽的UNIX套接字。 |
-A none |
關閉警報。 |
-A console |
將“快速樣式”警報發送到控制臺(屏幕)。 |
-A cmg |
生成“ cmg樣式”警報。 |
數據包可以通過-b命令行開關記錄為默認的ASCII解碼格式或二進制日志文件。要完全禁用數據包日志記錄,請使用-N命令行開關。
注意:命令行日志記錄選項將覆蓋配置文件中指定的所有輸出選項。這樣可以通過命令行快速調試配置問題。
要將警報發送到syslog,請使用-s開關。syslog警報機制的默認功能是LOG_AUTHPRIV和LOG_ALERT。如果要為系統日志輸出配置其他功能,請在snort.conf中使用輸出插件指令。
例如,使用以下命令行登錄到默認(解碼的ASCII)功能并將警報發送到syslog:
./snort -c snort.conf -l ./log -h 192.168.1.0/24 -s 作為另一個示例,使用以下命令行登錄到/ var / log / snort中的默認工具,并將警報發送到快速警報文件:
./snort -c snort.conf -A fast-h 192.168.1.0/24 1.4.2 了解標準警報輸出
Snort生成警報消息時,通常如下所示:
[**] [116:56:1] (snort_decoder): T/TCP Detected [**]第一個數字是生成器ID,它告訴用戶Snort的哪個組件生成了此警報。在這種情況下,我們知道此事件來自Snort的“解碼”(116)組件。
第二個數字是Snort ID(有時稱為簽名ID)。使用sid選項將基于規則的SID直接寫入規則。在這種情況下, 56表示T / TCP事件。
第三個數字是修訂ID。此數字主要在編寫簽名時使用,因為規則的每個表示形式都應使用rev選項將該數字遞增。
1.4.3 高性能配置
如果你想要Snort的模式為fast(如與1000 Mbps連接跟上),你需要使用unified2記錄和unified2日志讀者,比如barnyard2。這使Snort可以盡快以二進制形式記錄警報,而另一個程序執行緩慢的操作,例如寫入數據庫。
如果您希望文本文件易于解析,但是仍然有些快速,請嘗試使用具有“快速”輸出機制的二進制日志記錄。
這將以tcpdump格式記錄數據包,并產生最少的警報。例如:
./snort -b -A快速-c snort.conf 1.4.4 更改警報順序
Snort將其規則應用于數據包的默認方式可能不適用于所有安裝。首先應用Pass規則,然后應用Drop規則,然后應用Alert規則,最后應用Log規則。
注意 :有時,錯誤的通過規則可能會導致警報不顯示,在這種情況下,您可以更改默認順序,以允許在通過規則之前應用警報規則。
有幾個命令行選項可用于更改執行規則操作的順序。
-alert-before-pass選項強制警報規則生效以支持通過規則。-treat-drop-as-alert導致丟棄和拒絕規則以及所有關聯的警報記錄為警報,而不是常規操作。這允許在被動/ IDS模式下使用內聯策略。未加載Sdrop規則。-process-all-events選項使Snort處理與數據包關聯的每個事件,同時根據規則排序采取措施。如果沒有此選項(默認情況),則僅處理基于規則排序的第一個操作的事件。
注意:傳遞規則在這里是特殊情況,因為遇到傳遞規則時事件處理會終止,而不管
-process-all-events的使用。
推薦文章: