应用环境:Linux
工具介绍:Snort是一个轻便的网络入侵检测系统,可以完成实时流量分析和对网络上的IP包登录进行测试等功能,能完成协议分析,内容查找/匹配,能用来探测多种攻击和嗅探(如缓冲区溢出、秘密断口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等)。
示例:
运行Snort和显示IP和TCP/UDP/ICMP头信息: snort -v
使Snort把ethernet头信息和应用层数据记录到./log目录总去了,并记录的是关于192.168.0.1 CLASS C的信息,记录过程如图1,统计数据如图2所示:
图1
图2
snort -dev -l ./log -h 192.168.0.1/24
把日志记录在你规则文件中所定义的LOG文件中,而不是默认的alert.ids中:
snort -d -h 192.168.1.0/24 -l ./log -c snort-lib -s
安装备注:该工具安装前需要先安装libpcap、libpcre。
要深入使用这类工具的话,可以参照各自的帮助文件和相应的文档.