Snort安裝使用中文手冊1.7 Snort 其他相關操作
1.7.1 將 Snort作為守護程序運行
如果要將Snort作為守護程序運行,則可以將-D開關添加到前面幾節中描述的任何組合。請注意,如果您希望能夠通過向守護程序發送SIGHUP信號來重新啟動Snort,則在啟動時必須指定Snort二進制文件的完整路徑,例如:
/ usr / local / bin / snort -d -h 192.168.1.0/24 \
-l / var / log / snortlogs -c /usr/local/etc/snort.conf -s -D出于安全考慮,不支持相對路徑。
1.7.1.1 Snort PID文件
當Snort作為守護程序運行時,該守護程序在日志目錄中創建一個PID文件。在Snort 2.6中,-pid-path命令行開關使Snort將PID文件寫入指定的目錄中。
此外,即使未在守護程序模式下運行,-create-pidfile開關也可用于強制創建PID文件。
PID文件將被鎖定,以便其他snort進程無法啟動。使用-nolock-pidfile開關不鎖定PID文件。
如果您不想在PID文件中包含接口名稱,請使用-no-interface-pidfile開關。
1.7.2 在規則存根創建模式下運行
如果需要將共享庫規則存根轉儲到目錄中,則必須使用-dump-dynamic-rules命令行選項。這些規則存根文件與共享庫規則一起使用。路徑可以是相對的或絕對的。
/ usr / local / bin / snort -c /usr/local/etc/snort.conf \ --dump-dynamic-rules = / tmp還可以在snort.conf中使用配置選項dump-dynamic-rules-path配置此路徑,如下所示:
config dump-dynamic-rules-path:/ tmp / sorules 命令行配置的路徑優先于使用dump-dynamic-rules-path配置的路徑。
/ usr / local / bin / snort -c /usr/local/etc/snort.conf \
--dump-dynamic-rules
snort.conf:
config dump-dynamic-rules-path:/ tmp / sorules在上述情況下,轉儲路徑設置為/ tmp / sorules。
1.7.3 混淆IP地址打印輸出
如果需要將數據包日志發布到公共郵件列表,則可能需要使用-O開關。此開關在數據包打印輸出中混淆了您的IP地址。如果您不希望郵件列表中的人知道所涉及的IP地址,這將很方便。您還可以將-O開關與-h開關組合使用,以僅使歸屬網絡上主機的IP地址模糊。如果您不在乎誰看到攻擊主機的地址,這將很有用。例如,您可以使用以下命令從日志文件中讀取數據包并將其轉儲到屏幕,僅混淆來自192.168.1.0/24 C類網絡的地址:
./snort -d -v -r snort.log -O -h 192.168.1.0/24 1.7.4 指定多實例標識符
在Snort v2.4中,添加了-G命令行選項,該選項指定事件日志的實例標識符。在不同的CPU上或在同一CPU但接口不同的情況下運行多個snort實例時,可以使用此選項。每個Snort實例將使用指定的值來生成唯一的事件ID。用戶可以指定一個十進制值(-G1)或以0x開頭的十六進制值(-G0x11)。長選項-logid也支持此功能。
1.7.5 Snort模式
Snort可以在三種不同的模式下運行,即tap(被動)、內聯和內聯測試。Snort策略也可以在這三種模式下配置。
1.7.5.1 模式說明
內聯當Snort處于內聯模式時,它充當IPS允許觸發丟棄規則。可以使用命令行參數-Q和snort配置選項
policy_mode將Snort配置為以內聯模式運行, 如下所示:snort -Q config policy_mode:inline被動當Snort處于被動模式時,它充當IDS。未加載放置規則(沒有-treat-drop-as-alert)。可以使用snort config選項
policy_mode將Snort配置為被動模式,如下所示:config policy_mode:tap內聯測試內聯測試模式模擬snort的內聯模式,允許評估內聯行為而不影響流量。放置規則將被加載,并將作為Wdrop(Would Drop)警報觸發。可以使用命令行選項(-enable-inline-test)或使用snort配置選項
policy_mode將snort配置為內聯測試模式運行,如下所示:snort --enable-inline-test config policy_mode:inline_test
請注意-enable-inline-test不能與-Q一起使用。
帶有規則選項的不同模式的行為:
| 規則選項 | 內聯模式 | 被動模式 | 內聯測試模式 |
|---|---|---|---|
拒絕 |
下降+回應 | 警報+響應 | Wdrop +回應 |
反應 |
阻止并發送通知 | 阻止并發送通知 | 阻止并發送通知 |
標準化 |
標準化數據包 | 不標準 | 不標準 |
替換 |
替換內容 | 不替換 | 不替換 |
響應 |
關閉會話 | 關閉會話 | 關閉會話 |
具有規則動作的不同模式的行為
| 適配器模式 | Snort args | 配置policy_mode | 刪除規則處理 |
|---|---|---|---|
| 被動 | -treat-drop-as-alert |
tap | 警報 |
| 被動 | no args |
tap | 未加載 |
| 被動 | -treat-drop-as-alert |
inline_test | 警報 |
| 被動 | no args |
inline_test | 下降 |
| 被動 | -treat-drop-as-alert |
inline | 警報 |
| 被動 | no args |
inline | 未加載+警告 |
| 內聯測試 | -enable-inline-test -treat-drop-as-alert |
tap | 警報 |
| 內聯測試 | -enable-inline-test |
tap | 下降 |
| 內聯測試 | -enable-inline-test -treat-drop-as-alert |
inline_test | 警報 |
| 內聯測試 | enable-inline-test |
inline_test | 會掉落 |
| 內聯測試 | enable-inline-test -treat-drop-as-alert |
inline | 警報 |
| 內聯測試 | enable-inline-test |
inline | 下降 |
| 內聯 | -Q -treat-drop-as-alert |
tap | 警報 |
| 內聯 | -Q |
tap | 警報 |
| 內聯 | -Q -treat-drop-as-alert |
inline_test | 警報 |
| 內聯 | -Q |
inline_test | 下降 |
| 內聯 | -Q -treat-drop-as-alert |
inline | 警報 |
| 內聯 | -Q |
inline | 下降 |
推薦文章: