snort模式

snort包含三种模式：嗅探器、数据包记录器以及网络入侵检测系统。

Snort作为网络入侵检测系统

1、利用snort命令启动入侵检测系统：

sudo snort -d -h 192.168.202.134/24 -l ./log -c snort.conf -i en33

解释如下：
（1）-d:显示应用层数据
（2）-h:指定snort.conf中HOME_NET的值，如下所示：

此条命令指明HOME_NET=192.168.202.134/24（此地址需要更换为自己的虚拟机地址）。
（3）-l：指定日志存储目录。指明为snort根目录下的log文件夹中。
（4）-c:指定snort配置文件所在路径。所以此条命令需要在snort.conf所在目录下运行。
（5）-i:指明网卡为ens33
运行结果如下：

出现Commencing packet processing证明成功开启snort。

2、编写snort规则

snort规则分为两个部分分别为规则头和规则体，其中规则偷包含规则的动作、字所使用的协议、源和标的IP地址、网络源码以及端口号。规则体在规则头的后方括号内，规则头和规则体一般不分行。
简单规则如下：

alert tcp any any -> 192.168.202.134 any (msg:"test that snort is successful! ";sid:1000000900)

告警从任何地址下的任何端口发送到192.168.202.134任何端口的TCP连接，并打印"test that snort is successful! "。
此时利用telent进行TCP连接，在物理机（测试采用Windows10）输入：

telnet 192.168.202.143 9999

物理机会显示正在连接192.168.202.143...
此时可以关闭物理机的连接，进入虚拟机log文件夹查看alert文件如下：

可以看到其打印了我们刚才设置的语句：test that snort is successful!，并且表明其源地址以及源端口号，除此之外还打印了一些应用层数据信息（是由于我们之前启动snort的时候输入了-d，就会在文件中存储应用层数据信息。）。

3、高级snort规则编写

如果遇到某一个数据频繁使用时，可以通过定义变量的方式并利用$调用变量。
例如：

var NET_IP 192.168.202.143
alert tcp any any -> $NET_IP any (msg:"test";sid=1000000901)

snort实验（一）相关推荐

1. 《计算机网络》实验报告——使用SNORT观察网络数据包和TCP连接

   实验名称:使用SNORT观察网络数据包和TCP连接 实验地点: 所使用的工具软件及环境: Windows ,snort.winpcap 一.实验目的: 通过本实验,熟悉SNORT的使用,通过抓包分析, ...

2. Snort入侵检测系统实验

   实验内容 搭建网络防御环境 学习使用检测工具Snort 对网络进行攻击,查看和分析网络防御工具报告 对实验结果进行分析整理,形成结论 三.实验步骤 安装入侵检测系统Snort 安装daq依赖程序,输入 ...

3. 实验 snort安装配置与规则编写

   实验 snort安装配置与NIDS规则编写 1 实验目的 在linux或windows任意一个平台下完成snort的安装,使snort工作在NIDS模式下,并编写符合相关情景要求的snort规则. 2 ...

4. 实验十 snort应用、snort2.8.1/3下载、snort入侵防御检测系统部署教程（winxp）

   实验十 snort应用.snort2.8.1/3下载.snort入侵防御检测系统部署教程(winxp) 前言:本人为了做病毒防范实验十,找了好久的教程和工具,遇上很多收费和坑,为了使后来人不那么费心特 ...

5. hping3攻击与snort攻击检测实验

   目录 1.Land攻击部署和检测 1.1  在网关linux系统上关闭地址欺骗攻击保护: 1.2 添加检测land攻击规则 1.3 在客户机用hping3对192.168.0.100:80发动land ...

6. 在ubuntu10.4安装snort ACID

   1.资料:http://netsecurity.51cto.com/art/201009/224860.htm 2.简介:       snort系统组成:snort由三个重要的子系统构成:数据包×× ...

7. Snort日志输出插件详解

   Snort日志输出插件详解 Snort是一款老×××的开源***检测工具,本文主要讨论他作为日志分析时的各种插件的应用.Snort的日志一般位于:/var/log/snort/目录下.可以通过修改配置 ...

8. 基于Snort的入侵检测系统

   基于Snort的入侵检测系统 用Snort,Apache,MySQL,PHP及ACID构建高级IDS 第一章 入侵检测系统及Snort介绍 在当今的企业应用环境中,安全是所有网络面临的大问题.黑客和入 ...

9. Windows 10环境中安装Snort+Barnyard2+MySQL

   一.背景 Snort是一款著名的开源入侵检测系统,有着悠久的历史和众多用户.我们通过部署Snort系统来监测异常网络活动并发出报警.Snort的跨平台性能很好,它支持的各种Linux/Unix和Win ...

最新文章

1. 偷天换日，逼真的天空置换算法
2. 重磅直播|基于激光雷达的感知、定位导航应用
3. 软考下午题详解---uml图
4. Android 进程常驻（使用第三方MarsDaemon）（虽然不可用，但是还是保留下。）
5. jQuery中 trigger() bind() 使用心得
6. php 画图 坐标,说说PHP作图（一）_php
7. android调用邮件应用发送email
8. JS 实现复制粘贴功能
9. hbuilder + MUI 编写跨平台移动端app目前发现的优缺点
10. 一文探究数据仓库体系(2.7万字建议收藏)
11. WPS怎样设置多级标题（如四级标题）
12. java/php/net/python守望先锋网站设计
13. KOBAS数据库使用指南
14. 文档扫描OCR识别-2
15. 搭建vue项目环境以及创建一个简单的vue的demo
16. 很‮欢喜‬‎傅首尔的一段话 “当30岁还在为10块打‮费车‬‎‮结纠‬‎，‮天雨
17. 微信开发 -- 二维码生成
18. 最新实用Python异步爬虫代理池（开源）
19. SIMPLIS仿真软件2.1－SIMPLIS快速入门1
20. 一．解决OSPF不规则区域问题及例题

热门文章

1. 公司午休 同事打鼾怎么办？
2. 大掌门2显示服务器繁忙,大掌门2新手攻略_游戏功能详细攻略（新手攻略二）_软吧...
3. Sequential regulatory activity prediction across chromosomes with convolutional neural networks
4. [计算机数值分析]四阶龙格-库塔经典格式解常微分方程的初值问题
5. 如何将GMS功能移植到Android系统中
6. java星星图案总结
7. 计算机考试照片是一寸,怎么用电脑拍照片_怎么用电脑将照片修成一寸大小
8. 树莓派frp内网穿透
9. stm32h7能跑linux,STM32H7榨干了Cortex-M7的最后一滴血
10. 一层神经网络实现鸢尾花数据集分类