注册
个人空间
当然上面的一些命令你只是在屏幕上看到,如果要记录在LOG文件上,你可以
先建立一个log目录,在使用下面的命令:
./snort -dev -l ./log -h 192.168.0.1/24
这个命令就使Snort把ethernet头信息和应用层数据记录到./log目录总去了,并
记录的是关于192.168.0.1 CLASS C的信息,
如果你想利用一些规则文件(一些记录特定数据的规则文件,如SYN ATTACK等记录)
就使用:
./snort -dev -l ./log -h 192.168.1.0/24 -c snort-lib
这里的Snort-lib是你的规则文件的文件名,这将采用snort-lib文件中设置的
规则来决定是否记录某个信息包。而
./snort -d -h 192.168.1.0/24 -l ./log -c snort-lib 可以不记录一些ethernet头信息
如,我用./nmap -sS 192.168.0.1 -p 21就在/log/alert.ids中记录如下信息:
[**] IDS246 - MISC - Large ICMP Packet [**]
06/12-13:48:31.992395 192.168.0.1 ->; 192.168.0.2
ICMP TTL:128 TOS:0x0 ID:36579
ID:46802 Seq:0 ECHO REPLY
我故意使用了rules出现的规则php.cgi/?,如192.168.0.1/cgi-bin/php.cgi/?,就显示:
[**] IDS232 - WEB-CGI-PHP CGI access attempt [**]
06/12-13:53:35.106323 192.168.0.2:1789 ->; 192.168.0.1:80
TCP TTL:64 TOS:0x0 ID:8945 DF
*****PA* Seq: 0xA070C880 Ack: 0xF113872 Win: 0x7D78
./snort -d -h 192.168.1.0/24 -l ./log -c snort-lib -s就会把日志记录在你
规则文件中所定义的LOG文件中,而不是默认的alert.ids中。
./snort -d -h 192.168.1.0/24 -l ./log -c snort-lib -o此命令是读规则文件的顺序,
有些人很奇怪,需要先读允许的规则文件,再读alert规则文件,然后来LOG记录,那就
按照上面的命令来操作。
如果你的网络请求相当多,你可以使用:
./snort -b -A fast -c snort-lib
这样,每一条规则内的警告消息就分开记录,对于多点同步探测和攻击的记录可以不容易丢包。
当然这样记录的LOG文件是两进制的,类似与tcpdump的格式,你可以使用这样的方法来查看
这些LOG:
./snort -d -c snort-lib -l ./log -h 192.168.1.0/24 -r snort.log
最后这段参数介绍是从网上抄来的,活活...
在linux和bsd等平台安装比较常见,但在aix下就不是很常见了
实验室正好需要一套这个,所以就试了一把,感觉还可以.
chinaix 回复于:2005-02-03 14:28:57
顶!谢谢
lhf 回复于:2005-02-20 17:58:39
thank you !!!
lvhuana 回复于:2005-02-25 00:17:33
帽子的文章,牛!!
支持一下,嘿嘿
| 论坛热门帖子: | [lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了,有点迷茫,应该再学些什么提高自己的测试水平和测试能力呢?(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍,希望对大家有用(10-18) |
| TAG标签: | 原创 安装 #8722 文件 软件 bash#8722 mysql 可以 记录 |
