Snort最新版是一款安全可靠的开源网络入侵防御和检测系统。Snort官方版软件结合了签名,协议和基于异常的检查方法的优点,可以捕捉流经网络的数据包,一旦发现非法入侵,即刻发出警告。Snort软件还可以执行协议分析和内容匹配,有效的保护用户的网络。
游戏介绍
Snort 是一个开源,轻量级的网络入侵检测程序,适用于 Windows 和 Linux 平台。它能够在互联网协议(TCP/IP)网络上执行实时流量分析和数据包记录。
它可以检测各种攻击和探测,包括但不限于操作系统指纹尝试,公共网关接口,缓冲区溢出,服务器消息块探测和隐形端口扫描。
软件功能
Snort有 三种工作模式:嗅探器、数据包记录器、网络入侵检测系统模式。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数 据包记录到硬盘上。网路入侵检测模式分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。网络入侵检测系统模式是最复杂的,而且是可配置的。
Snort可以用来监测各种数据包如端口扫描等之外,还提供了以XML形式或数据库形式记录日志的各种插件。
主要指令
order改变规则顺序( snort -o )
alertfile建立警告输出档,例如:config alertfile: alertlog
classification将规则分类。
decode_arp开启arp解码功能。 (snort -a)
dump_chars_only开启字元撷取功能。 (snort -C)
dump_payload撷取应用层资料。 (snort -d)
decode_data_link解码资料连结层的标头档。 (snort -e)
bpf_file指定BPF筛检程式(snort -F)。例如:config bpf_file: filename.bpf
set_gid改变GID (snort -g)。例如:config set_gid: snort_group
daemon以背景方式执行。 (snort -D)
reference_net设置该区域的网路。 (snort -h)。例如:config reference_net:192.168.1.0/24
interface设置网路介面(snort –i)。例如:config interface: xl0
alert_with_interface_name警示时附加上介面资讯。 (snort -I)
logdir设置记录目录(snort -l)。例如:config logdir: /var/log/snort
umask设置snort输出档的权限。 (snort -m). Example: config umask: 022
pkt_count处理n个封包后,退出。 (snort -n). Example: config pkt_count: 13
nolog关闭记录功能(警示仍然运作)。 (snort -N)
quiet安静模式,不显示状态报告。 (snort -q)
checksum_mode计算checksum的协定类型。类型值:none, noip, notcp, noicmp, noudp, all
utc在时间纪录上,用UTC时间代替本地时间。 (snort -U)
verbose将详细记录资讯列印到标准输出。 (snort -v)
dump_payload_verbose撷取资料连结层的封包( snort -X )
show_year在时间纪录上显示年份。 (snort -y)
stateful为stream4设置保证模式。
min_ttl设置一个snort内部的ttl值以忽略所有的流量。
disable_decode_alerts关闭解码时发出的警示。
disable_tcpopt_experimental_alerts关闭tcp实验选项所发出的警示。
disable_tcpopt_obsolete_alerts关闭tcp过时选项所发出的警示。
disable_tcpopt_ttcp_alerts关闭ttcp选项所发出的警示。
disable_tcpopt_alerts关闭选项长度确认警示。
disable_ipopt_alerts关闭IP选项长度确认警示。
detection配置侦测引擎。 (例如:search-method lowmem)
reference帮Snort加入一个新的参考系统。