SnortForWindows IDS试用
Author:gnicky URL: http://blog.csdn.net/loconfuse
学习Snort,也学习其工作方式,在Snort的软件层次中Snort是用户交互层,在底层包括Windows下的winpCap(Capture),Xnix下的libpCap,在交互层的Snort随着OS的不同也体现出不同的特性,包括安装部署、配置等。
SnortFowWindows包括数据嗅探、数据报记录、入侵分析三个不同级别的功能,实际上如同软件工程中的功能垂直划分,入侵分析使用数据报纪录,而纪录的获取要通过侦听,一般也可以通过交换机的混杂模式旁路出来,也可以通过网络捕获。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上,在安装有Snort的文件夹下通过cmd命令行调用/ snort -v。使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。如果你要看到应用层的数据,可以使用: ./snort -vd 这条命令使snort在输出包头信息的同时显示包的数据信息。如果你还要显示数据链路层的信息,就使用下面的命令: ./snort –vde,数据链路层位于网络物理层之上,位于网络层(TCP/IP)之下,但其中的UDP数据,以及MAC地址数据,其实还是不明白这个东东。
如下图,希望对这个比较有研究的大侠给与指点:
数据包记录器模式把数据包记录到硬盘上/snort 。要把所有的包记录到硬盘上,你需要指定一个日志目录,snort就会自动记录数据包:
./snort -dev -l ./log
当然,./log目录必须存在,否则snort就会报告错误信息并退出。当snort在这种模式下运行,它会记录所有看到的包将其放到一个目录中,这个目录以数据包目的主机的IP地址命名,例如:192.168.10.1
如果你只指定了-l命令开关,而没有设置目录名,snort有时会使用远程主机的IP地址作为目录,有时会使用本地主机IP地址作为目录名。为了只对本地网络进行日志,你需要给出本地网络: ./snort -dev -l ./log -h 192.168.1.0/24
对192.168.0.1/24进行分析,24是对子网掩码的设定。这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./log中。
通过这样的命令 snort –dev –l ./log –h 192.168.0.1/24在同路径下log文件夹中针对各个IP地址建立分类文件夹,包括概述数据文件,对这些文件值得分析!
关于ARP\Packet等文件……是网络数据分析的起源地,这样实现的事后数据分析IDS,也能够称之为IDS : :)
ARP描述对话发生的基本情况
01/14-19:49:14.950403 ARP who-has 192.168.0.1 tell 192.168.0.88
01/14-19:49:15.947777 ARP who-has 192.168.0.1 tell 192.168.0.88
01/14-19:49:22.958050 ARP who-has 192.168.0.1 tell 192.168.0.88
01/14-19:50:08.935080 ARP who-has 192.168.0.23 tell 192.168.0.2
01/14-19:50:32.223852 ARP who-has 192.168.0.1 tell 192.168.0.88
另外的一种使用方式:tcpDump的处理方法。TcpDump与winpCap/libpCap的严格关系,我也不明白地说,TcpDump也是嗅探器。
如果你的网络速度很快,或者你想使日志更加紧凑以便以后的分析,那么应该使用二进制的日志文件格式。所谓的二进制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包记录到一个单一的二进制文件中: ./snort -l ./log -b
tcpdump或者Ethereal,二进制格式的嗅探器程序从这个文件中读出数据包,使用-r功能开关,也能使snort读出包的数据。snort在所有运行模式下都能够处理tcpdump格式的文件。例如:如果你想在嗅探器模式下把一个tcpdump格式的二进制文件中的包打印到屏幕上,可以输入下面的命令:
./snort -dv -r packet.log
网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
先学习到这里了,撤退!
