用法:
snort -[options]
選項:-b 用二進位制檔案儲存網路資料報,以應付高吞吐量的網路。
-b 將ip位址資訊抹掉,去隱私化。
-c 使用配置檔案,這會使得snort進入ids模式,並從中讀取執行的配置資訊。
-d 顯示包的應用層資料。
-d 以後臺程序執行snort。如無指定,alerts將寫到/var/log/snort/alert。
-e 顯示資料鏈路層的資訊。
-e 儲存報警日誌為windows事件日誌。
-f 啟用pcap行緩衝(line buffering)。
-f 指定bpf過濾器。
-g 初始化snort後以組id(group id)執行。
-g 為事件生成設定乙個基礎事件id值。
-h 設定本地網路為hn,如192.168.1.0/24。
-i 設定網路介面為。可以用-w選項查詢網路介面列表,然後用介面序號index指定介面。如-i 2
-i 報警時附加上介面資訊。
-j 當以in-line模式執行時,這個選項將只捕獲埠的報文。
-k 為all,noip,notcp,noudp,noicmp,or none設定校驗和模式。
-k 設定儲存檔案的格式:pcap,ascii, none。pcap是預設格式,同於-b選項的格式。ascii是老的模式格式。none則關閉資料報記錄。
-l 設定資料報檔案存放目錄。預設目錄是/var/log/snort.
-l 設定二進位制輸出檔案的檔名為。
-m 當以非後台模式daemon執行時,儲存資訊到syslog。
-m 設定snort輸出檔案的許可權位。
-n 出來個報文後終止程式。
-n 關閉儲存日誌包功能。
-o 改變應用規則的順序。從alert-->pass-->log順序改為pass-->alert-->log,避免了設定大量bpf命令列引數來過濾alert規則。
-o 在ascii資料報捕獲模式下混淆ip位址。
-p 關閉混雜模式。
-p設定snaplen,預設值是當前網絡卡的mtu。
-q 安靜模式,不顯示標誌和狀態報告。
-r 從pcap格式的檔案中讀取資料報。
-r 為snort pidfile增加下標。
-s 使snort把報警訊息傳送到syslog,預設的裝置是log_authpriv和log_alert。可以修改snort.conf檔案修改其配置。
-s 為變數n設定值為v。
-t 初始化後將snort的根目錄改變為。
-t 以自檢測模式啟動snort。
-u 初始化後改變snort的uid。
-u 在時間戳上用utc時間代替本地時間。
-v 從網路上讀出資料報然後顯示在你的控制台上。
-v 檢視版本號並退出。
-w 如果執行在802.11網中,顯示管理幀。
-w *win32 only*列出可以網路介面。其中的index或device name都可以用到-i選項中。
- x 顯示包括資料鏈路層的原始資料報。
-y 在時間戳裡顯示年份。
-z 設定效能監視器(perfmon)路徑。
-? 幫助資訊。
長引數選項
--logid <0xid> same as -g
--perfmon-file same as -z
--pid-path specify the path for the snort pid file
--snaplen same as -p
--help same as -?
--dynamic-engine-lib
指定動態監測引擎檔案
--dynamic-detection-lib
指定乙個動態規則庫檔案
--dynamic-detection-lib-dir
指定所有動態規則庫路徑
--dump-dynamic-rules
為所有載入的規則庫建立根規則檔案
--dynamic-preprocessor-lib
指定動態預處理庫檔案
--dynamic-preprocessor-lib-dir
指定動態預處理庫路徑
--dump-dynamic-preproc-genmsg
為所有載入的預處理庫生成gen-msg.map檔案到路徑.
--alert-before-pass
在pass之前處理alert, drop, sdrop, or reject. 預設是pass before alert, drop, etc.
--treat-drop-as-alert
converts drop, and reject rules into alert rules during startup. sdrop rules are not loaded.將drop處理為alert。
--process-all-events
process all triggered events in group order, per rule ordering configuration. default stops after first group.
--pid-path
specify the path for snort's pid file. 為snortpid檔案指定路徑。
--create-pidfile
create pid file, even when not in daemon mode. 建立pid檔案。
[*][filters]:過濾器選項
過濾器選項為標準的bpf格式。即,同tcpdump的過濾器表示式一致。(bpf:
snort 命令解析
snort 命令解析 snort有三種工作模式 嗅探器 資料報記錄器 網路入侵檢測系統。嗅探器模式僅僅是從網路上讀取資料報並作為連續不斷的流顯示在終端上。資料報記錄器模式把資料報記錄到硬碟上。網路入侵檢測模式是最複雜的,而且是可配置的。我們可以讓snort分析網路資料流以匹配使用者定義的一些規則,並...
tcpdump help命令引數詳解
tcpdump採用命令列方式,它的命令格式為 tcpdump adeflnnopqstvx c 數量 f 檔名 i 網路介面 r 檔名 s snaplen t 型別 w 檔名 表示式 1.tcpdump的選項介紹 a 將網路位址和廣播位址轉變成名字 d 將匹配資訊包的 以人們能夠理解的彙編格式給出 ...
TAR命令引數詳解
filename1 filename2,filenamen directory1 directory2,directoryn 描述tar 程式用於儲存或展開 tar 存檔檔案。存檔檔案可放在磁碟中 也可以存為普通檔案。tar是需要引數的,可選的引數是a c d r t u x,您在使用tar時必須首...