Snort官方版 相似軟件版本說明軟件地址蜂網(wǎng)互聯(lián)路由檢測工具1.0.0.1 官方版查看91網(wǎng)絡檢測1.0.1.0 官方版查看科來網(wǎng)絡分析系統(tǒng)9.1.0.9121 技術交流版查看電腦監(jiān)控軟件19.0.180810.SC 免費版查看win10升級工具12.0 官方版查看

Snort官方版是款針對電腦安全所打造的網(wǎng)絡入侵檢測以及預防系統(tǒng)。Snort主要適用于監(jiān)視網(wǎng)絡傳輸量的網(wǎng)絡型入侵檢測系統(tǒng)，就是幫助用戶捕捉從外部網(wǎng)絡上下載到本地的數(shù)據(jù)包。Snort中還有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡入侵檢測系統(tǒng)。本站提供Snort的下載服務，下載Snort其他版本，請到本站!

Snort軟件介紹

Snort有 三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡入侵檢測系統(tǒng)模式。嗅探器模式僅僅是從網(wǎng)絡上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù) 據(jù)包記錄到硬盤上。網(wǎng)路入侵檢測模式分析網(wǎng)絡數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結果采取一定的動作。網(wǎng)絡入侵檢測系統(tǒng)模式是最復雜的，而且是可 配置的。

Snort可以用來監(jiān)測各種數(shù)據(jù)包如端口掃描等之外，還提供了以XML形式或數(shù)據(jù)庫形式記錄日志的各種插件。

Snort主要指令

order改變規(guī)則順序( snort -o )

alertfile建立警告輸出檔，例如：config alertfile: alertlog

classification將規(guī)則分類。

decode_arp開啟arp解碼功能。 (snort -a)

dump_chars_only開啟字元擷取功能。 (snort -C)

dump_payload擷取應用層資料。 (snort -d)

decode_data_link解碼資料連結層的標頭檔。 (snort -e)

bpf_file指定BPF篩檢程式(snort -F)。例如：config bpf_file: filename.bpf

set_gid改變GID (snort -g)。例如：config set_gid: snort_group

daemon以背景方式執(zhí)行。 (snort -D)

reference_net設置該區(qū)域的網(wǎng)路。 (snort -h)。例如：config reference_net:192.168.1.0/24

interface設置網(wǎng)路介面(snort –i)。例如：config interface: xl0

alert_with_interface_name警示時附加上介面資訊。 (snort -I)

logdir設置記錄目錄(snort -l)。例如：config logdir: /var/log/snort

umask設置snort輸出檔的權限。 (snort -m). Example: config umask: 022

pkt_count處理n個封包后，退出。 (snort -n). Example: config pkt_count: 13

nolog關閉記錄功能(警示仍然運作)。 (snort -N)

quiet安靜模式，不顯示狀態(tài)報告。 (snort -q)

checksum_mode計算checksum的協(xié)定類型。類型值：none, noip, notcp, noicmp, noudp, all

utc在時間紀錄上，用UTC時間代替本地時間。 (snort -U)

verbose將詳細記錄資訊列印到標準輸出。 (snort -v)

dump_payload_verbose擷取資料連結層的封包( snort -X )

show_year在時間紀錄上顯示年份。 (snort -y)

stateful為stream4設置保證模式。

min_ttl設置一個snort內部的ttl值以忽略所有的流量。

disable_decode_alerts關閉解碼時發(fā)出的警示。

disable_tcpopt_experimental_alerts關閉tcp實驗選項所發(fā)出的警示。

disable_tcpopt_obsolete_alerts關閉tcp過時選項所發(fā)出的警示。

disable_tcpopt_ttcp_alerts關閉ttcp選項所發(fā)出的警示。

disable_tcpopt_alerts關閉選項長度確認警示。

disable_ipopt_alerts關閉IP選項長度確認警示。

detection配置偵測引擎。 (例如：search-method lowmem)

reference幫Snort加入一個新的參考系統(tǒng)。

Snort安裝步驟

1、在本站將Snort下載下來，并解壓到當前文件夾中，點擊其中的Snort_2_9_8_0_Installer.exe應用程序，進入許可協(xié)議界面，接著點擊i agree。

2、選擇軟件安裝位置界面，本站小編建議用戶們安裝在D盤中，選擇好安裝位置點擊下一步。

3、Snort安裝結束，點擊close即可。

Snort使用方法

使用Snort進行入侵檢測方法

1.實驗環(huán)境

2.實驗步驟

第1步：在192.168.10.5上安裝Snort。到http://www.snort.org/上下載snort-2.8.6.tar.gz和snortrules-pr-2.4.tar.gz。安裝Snort之前先下載并且安裝libpcap-devel、pcre和pcre-devel。將snort-2.8.6.tar.gz解壓后進入snort-2.8.6，然后依次執(zhí)行如下命令：

[root@localhost snort-2.8.6]#./configure

[root@localhost snort-2.8.6]#make

[root@localhost snort-2.8.6]#make install

[root@localhost snort-2.8.6]#mkdir -p /etc/snort/rules

[root@localhost snort-2.8.6]#cp etc/*.conf /etc/snort

[root@localhost snort-2.8.6]#cp etc/*.config /etc/snort

[root@localhost snort-2.8.6]#cp etc/unicode.map /etc/snort

[root@localhost snort-2.8.6]#mkdir /var/log/snort

將snortrules-pr-2.4.tar.gz解壓后，將其中的規(guī)則文件全部復制到/etc/snort/rules下。編輯/etc/snort/snort.conf文件，將“var RULE_PATH ../rules”改為“var RULE_PATH /etc/snort/rules”。編輯/etc/snort/rules/icmp.rules文件

第2步：在192.168.10.5上啟動snort進行入侵檢測，執(zhí)行的命令如下：

[root@localhost ~]# snort -i eth1 -c/etc/snort/snort.conf -A fast -l /var/log/snort/

第3步：在192.168.10.1上的終端窗口中執(zhí)行ping 192.168.10.5命令，如圖5-49所示，然后再使用端口掃描工具對192.168.10.5進行端口掃描，如圖5-50所示。

第4步：在192.168.10.5上分析檢測數(shù)據(jù)，如圖5-51所示，前4行對應與第3步的ping命令，第6行表明192.168.10.1對192.168.10.5進行了端口掃描。

Snort常見問題

問：windows下snort怎樣啟動和退出?

答：假設你的snort.exe位于d:snortbinsnort.exe。按以下步驟：

開始——運行——cmd——d:——cd snortbin——snort

但snort一般都是配合命令來dao用的，要加一些選項才有效果。如(這里的路徑是我電腦上的)：

snort -c c:snortetcsnort.conf -l c:snortlogs -d -e -v

如果要結束，可以用Ctrl+c，則退出snort。

問：Snort可以監(jiān)控其他的主機嗎?

答：snort是可以監(jiān)視其他主機，但是你要監(jiān)視的主機需要跟你裝snort的主機在一個網(wǎng)段，因為snort是把網(wǎng)卡設為雜湊模式，實現(xiàn)對網(wǎng)卡抓包的。

同類軟件對比

91網(wǎng)絡檢測官方版是一款好用的網(wǎng)絡檢測軟件，91網(wǎng)絡檢測最新版支持配置程序標題、窗口界面調整、自行添加多行服務器等功能，通過91網(wǎng)絡檢測用戶可以實時監(jiān)測當前網(wǎng)絡連接某個游戲或者某個網(wǎng)站的延遲，判斷自己的網(wǎng)絡是否出現(xiàn)了問題。

AdapterWatch是一款能夠幫助使用者徹底了解所使用的網(wǎng)絡卡的相關信息的小工具，它能夠顯示網(wǎng)絡卡的硬件信息、IP 地址、各種服務器地址等信息，讓使用者更了解自己的網(wǎng)絡設定。