1.5 Packet Acquisition

Snort 2.9 引入 DAQ 代替直接调用 libpcap .

有两种网卡特性会影响 Snort :

”Large Receive Offload” (LRO) and ”Generic Receive Offload” (GRO)

Snort 建议关闭这两项 ,对于linux系统 执行以下命令行 :

$ ethtool -K eth1 gro off
$ ethtool -K eth1 lro off

1.5.1 Configuration

假设我们没有禁用 static modules 或者改变默认的 DAQ 类型, 我们可以像以前一样使用 interface 运行Snort 中 readback 或者 sniffing. 当然, 也可以通过以下设置选择和配置 DAQ :

必须通过配置文件或者命令行指定好所需要的参数, 否则 -Q 会强制执行 inline, -r 会强制执行 read-file, mode默认为passive.

-省略-

1.5.2 pcap

pcap 是默认的 DAQ. snort 运行任何 w/o DAQ 命令, 都是通过操作 pcap.以下命令是等价的 :

./snort -i <device>
./snort -r <file>
./snort --daq pcap --daq-mode passive -i <device>
./snort --daq pcap --daq-mode read-file -r <file>

可以指定pcap buffer_size :

./snort --daq pcap --daq-var buffer_size=<#bytes>

pcap DAQ 不记录过滤的数据包.

1.5.3 AFPACKET

afpacket 函数类似与 memory mapped pacp DAQ 但是不需要外部依赖库 :

./snort --daq afpacket -i <device>
[--daq-var buffer_size_mb=<#MB>]
[--daq-var debug]

如果在 inline mode 中运行 afpacket, 必须设置一个或多个接口对(interface pairs), 格式如下 :

eth0:eth1

或者:

eth0:eth1::eth2:eth3

afpacket DAQ 默认分配128MB的包内存(packet memory), 可以通过以下配置修改 :

--daq-var buffer_size_mb=<#MB>

注意, 总的内存分配量比这个高, 约165.5MB(较128MB)

1.5.4 NFQ

NFQ 是新的改良的抓包(iptables packets)方式 :

关于 iptables
https://wiki.archlinux.org/index.php/Iptables_(%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87)

1.5.5 IPQ

IPQ 是旧的抓包(iptables packets)方式. pre-2.9 可以通过以下命令在build时启用 :

./configure --enable-inline / -DGIDS

通过一下设置启用 :

1.5.6 IPFW

BSD系统可以用IPFW. pre-2.9 可以通过以下命令在build时启用 :

./configure --enable-ipfw / -DGIDS -DIPFW

以下这条命令作废 :

./snort -J <port#>

改为以下命令 :

./snort --daq ipfw [--daq-var port=<port>]
<port> ::= 1..65535; default is 8000

IPFW 只支持ip4 流量

1.5.7 Dump

在 snort 2.9 版本中 dump DAQ 允许尝试多种inline模式特性, 例如 injection 和 normalization.

./snort -i <device> --daq dump
./snort -r <pcap> --daq dump

默认会生成一个文件名为inline-out.pcap的文件, 包括所有snort捕获和生成的包. 也可以自定义名字 :

./snort --daq dump --daq-var file=<name>

因为dump是通过调用pcap daq. 因此也没有计数过滤的包.

注意 dump DAQ 的inline mode 不是真正的 inline mode.此外, 在其他模式中需要用到 pcap DAQ :

./snort -r <pcap> -Q --daq dump --daq-var load-mode=read-file
./snort -i <device> -Q --daq dump --daq-var load-mode=passive

1.5.8 Statistics Changes

The Packet Wire Totals and Action Stats sections of Snort’s output include additional fields:

Filtered count of packets filtered out and not handed to Snort for analysis.
Injected packets Snort generated and sent, e.g. TCP resets.
Allow packets Snort analyzed and did not take action on.
Block packets Snort did not forward, e.g. due to a block rule.
Replace packets Snort modified.
Whitelist packets that caused Snort to allow a flow to pass w/o inspection by any analysis program.
Blacklist packets that caused Snort to block a flow from passing.
Ignore packets that caused Snort to allow a flow to pass w/o inspection by this instance of Snort.
The action stats show ”blocked” packets instead of ”dropped” packets to avoid confusion between dropped packets (those Snort didn’t actually see) and blocked packets (those Snort did not allow to pass).

转载于:https://www.cnblogs.com/ash975/p/5788661.html

Snort - manual 笔记(二)相关推荐

  1. qml学习笔记(二):可视化元素基类Item详解(上半场anchors等等)

    原博主博客地址:http://blog.csdn.net/qq21497936 本文章博客地址:http://blog.csdn.net/qq21497936/article/details/7851 ...

  2. oracle直查和call哪个更快,让oracle跑的更快1读书笔记二

    当前位置:我的异常网» 数据库 » <>读书笔记二 <>读书笔记二 www.myexceptions.net  网友分享于:2013-08-23  浏览:9次 <> ...

  3. 【Visual C++】游戏开发笔记二十七 Direct3D 11入门级知识介绍

    游戏开发笔记二十七 Direct3D 11入门级知识介绍 作者:毛星云    邮箱: happylifemxy@163.com    期待着与志同道合的朋友们相互交流 上一节里我们介绍了在迈入Dire ...

  4. [转载]dorado学习笔记(二)

    原文地址:dorado学习笔记(二)作者:傻掛 ·isFirst, isLast在什么情况下使用?在遍历dataset的时候会用到 ·dorado执行的顺序,首先由jsp发送请求,调用相关的ViewM ...

  5. PyTorch学习笔记(二)——回归

    PyTorch学习笔记(二)--回归 本文主要是用PyTorch来实现一个简单的回归任务. 编辑器:spyder 1.引入相应的包及生成伪数据 import torch import torch.nn ...

  6. tensorflow学习笔记二——建立一个简单的神经网络拟合二次函数

    tensorflow学习笔记二--建立一个简单的神经网络 2016-09-23 16:04 2973人阅读 评论(2) 收藏 举报  分类: tensorflow(4)  目录(?)[+] 本笔记目的 ...

  7. 趣谈网络协议笔记-二(第十九讲)

    趣谈网络协议笔记-二(第十九讲) HttpDNS:网络世界的地址簿也会指错路 自勉 勿谓言之不预也 -- 向为祖国牺牲的先烈致敬! 引用 dns缓存刷新时间是多久?dns本地缓存时间介绍 - 东大网管 ...

  8. 趣谈网络协议笔记-二(第十八讲)

    趣谈网络协议笔记-二(第十八讲) DNS协议:网络世界的地址簿 自勉 勿谓言之不预也 -- 向为祖国牺牲的先烈致敬! 正文 DNS用于域名解析,但也不仅仅是用于域名解析,不仅仅是将域名转换成IP. 在 ...

  9. 趣谈网络协议笔记-二(第十七讲)

    趣谈网络协议笔记-二(第十七讲) P2P协议:我下小电影,99%急死你 自勉 逃离舒适区! 正文 一. P2P协议 整个篇章讲的就是这两个协议之间的区别.P2P协议就是迅雷下载数据时所用的协议, 众所 ...

最新文章

  1. 源码分析SharePreferences的apply与commit的区别
  2. 【转载】linux 下 cpu使用情况分析
  3. Cookie或将被替换!Chrome工程师提议新型HTTP状态管理协议
  4. (视频+图文)机器学习入门系列-第15章
  5. AIX系统相关的日常操作
  6. HDU 2757 Ocean Currents
  7. c++语言程序的结构特点,C++的特点(特性)
  8. 县级的图书馆计算机管理员,图书馆管理员的岗位职责
  9. [Reverse] - 百度杯”CTF比赛 2017 二月场-CrackMe-1
  10. 怎么在html显示已登录状态,jQuery Ajax 实现在html页面实时显示用户登录状态
  11. 【联想拯救者R7000】安装nvidia驱动Perform MOK management 界面键盘失灵现象(已解决)
  12. 2023年东南大学集成电路设计考研考情与难度、参考书及上岸前辈备考经验
  13. Delphi 10.4.2 CE 社区版支持 Android API-30,之二
  14. 詹森不等式到底是什么?
  15. 中美日印程序员收入对比
  16. 1006 换个格式输出整数——C++实现
  17. stm32f7699遇到的犯二问题
  18. Android视频录制
  19. 使用NuSMV解决过河问题
  20. React组件进阶--组件通讯介绍,组件的 props特点,组件通讯的三种方式子到父,父到子,兄弟到兄弟组件,Context,回顾练习

热门文章

  1. 无损音乐统一音量大小好吗_您可以无损增加MP3文件的音量吗?
  2. 比较令人惊叹的FastDB和SQLite的RAMDISK内的性能对比
  3. Java EE(进阶版)
  4. DRM框架(vkms)分析(4)----encoder初始化
  5. 欧拉图与半欧拉图的判断
  6. 初中级前端程序员面试中小型公司会问哪些问题?
  7. pycharm创建.ini文件
  8. 毕设 深度学习图像风格迁移
  9. 打开netlogo model 出现failed to launch JVM
  10. 声纹识别概述(1)初识