入侵检测系统之LIDS篇

Log
-O Obfuscate the logged IP addresses
-p Disable promiscuous mode sniffing
-P set explicit snaplen of packet (default: 1514)
-q Quiet. Don't show banner and status report
-r Read and process tcpdump file
-R Include 'id' in snort_intf.pid file name
-s Log alert messages to syslog
-S Set rules file variable n equal to value v
-t
Chroots process to
after initialization
-T Test and report on the current Snort configuration
-u Run snort uid as user (or uid) after initialization
-U Use UTC for timestamps
-v Be verbose
-V Show version number
-w Dump 802.11 management and control frames
-X Dump the raw packet data starting at the link layer
-y Include year in timestamp in the alert and log files
-z Set assurance mode, match on established sesions (for TCP)
-? Show this information
are standard BPF options, as seen in TCPDump

这里主要是要了解几个重要的参数
-A 设置报警模式，是快速，完全，或者是控制台，亦或是不报警
-a 捕获ARP包
-b 使用tcpdump的格式来写入日志
-c 指定配置文件路径
-d 捕获应用层数据
-D 后台运行snort
-e 显示第二层头信息
-h 设置监听主机
-m 设置掩码
-z 只匹配已经完全建立链接的会话

我一般是使用
snort -A fast -Db -e -z来运行snort的
其他还有一些很有用的参数，而且可以在配置文件那让snort把日志写到mysql数据库，这样对日志的处理就可以很方便了
如果需要知道更加多的信息，可以去www.snort.org看doc，或者看man page

这里先截取一个日志片段来说明一些问题
11/13-05:29:27.429801 UDP src: 24.24.146.64 dst: 202.196.64.30 sport: 1028 dport: 137 tgts: 6 ports: 6 event_id: 0
11/13-05:29:27.759801 UDP src: 24.24.146.64 dst: 202.196.64.32 sport: 1028 dport: 137 tgts: 7 ports: 7 event_id: 471
11/13-05:29:34.279801 UDP src: 24.24.146.64 dst: 202.196.64.72 sport: 1028 dport: 137 tgts: 8 ports: 8 event_id: 471
11/13-05:29:34.449801 UDP src: 24.24.146.64 dst: 202.196.64.73 sport: 1028 dport: 137 tgts: 9 ports: 9 event_id: 471
11/13-05:29:37.549801 UDP src: 24.24.146.64 dst: 202.196.64.92 sport: 1028 dport: 137 tgts: 10 ports: 10 event_id: 471
11/13-05:29:41.989801 UDP src: 24.24.146.64 dst: 202.196.64.119 sport: 1028 dport: 137 tgts: 11 ports: 11 event_id: 471
11/13-05:29:42.139801 UDP src: 24.24.146.64 dst: 202.196.64.120 sport: 1028 dport: 137 tgts: 12 ports: 12 event_id: 471

这段日志告诉我
今天早上5点左右，有个IP是24.24.146.64的朋友，在扫描202.196.64网段的共享或者是在使用一些低级的操作系统鉴别工具来鉴别这个网段的操作系统类型（因为高级的系统指纹鉴别系统是不会扫描137端口的）
详细的分析一条日志吧
11/13-05:29:27.429801 UDP src: 24.24.146.64 dst: 202.196.64.30 sport: 1028 dport: 137 tgts: 6 ports: 6 event_id: 0

UDP是使用的协议
SRC是源IP
DST是目标IP
SPORT是源端口
DPORT是目标端口
根据上面的内容再结合攻击手段的特征，很容易就可以发现对方在做什么了。（出处：secu.zzu.edu.cn）

网络的神奇作用吸引着越来越多的用户加入其中，正因如此，网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......，各项技术都需要适时应势，对应发展，这正是网络迅速走向进步的催化剂。

关键词：入侵检测系统之LIDS篇

争怎路由网：是一个主要分享无线路由器安装设置经验的网站，汇总WiFi常见问题的解决方法。争怎路由网换路由器新买无法上网管理页面信号腾达路由器网站首页不能上网路由器密码 WiFi设置路由器设置 TP-Link 腾达路由器软件教程游戏教程系统下载您当前所在位置：下载首页 -> 杀毒教程
入侵检测系统之LIDS篇时间：2024/2/20作者：未知来源：争怎路由网人气： Log -O Obfuscate the logged IP addresses -p Disable promiscuous mode sniffing -P set explicit snaplen of packet (default: 1514) -q Quiet. Don't show banner and status report -r Read and process tcpdump file -R Include 'id' in snort_intf.pid file name -s Log alert messages to syslog -S Set rules file variable n equal to value v -t Chroots process to after initialization -T Test and report on the current Snort configuration -u Run snort uid as user (or uid) after initialization -U Use UTC for timestamps -v Be verbose -V Show version number -w Dump 802.11 management and control frames -X Dump the raw packet data starting at the link layer -y Include year in timestamp in the alert and log files -z Set assurance mode, match on established sesions (for TCP) -? Show this information are standard BPF options, as seen in TCPDump 这里主要是要了解几个重要的参数 -A 设置报警模式，是快速，完全，或者是控制台，亦或是不报警 -a 捕获ARP包 -b 使用tcpdump的格式来写入日志 -c 指定配置文件路径 -d 捕获应用层数据 -D 后台运行snort -e 显示第二层头信息 -h 设置监听主机 -m 设置掩码 -z 只匹配已经完全建立链接的会话我一般是使用 snort -A fast -Db -e -z来运行snort的其他还有一些很有用的参数，而且可以在配置文件那让snort把日志写到mysql数据库，这样对日志的处理就可以很方便了如果需要知道更加多的信息，可以去www.snort.org看doc，或者看man page 这里先截取一个日志片段来说明一些问题 11/13-05:29:27.429801 UDP src: 24.24.146.64 dst: 202.196.64.30 sport: 1028 dport: 137 tgts: 6 ports: 6 event_id: 0 11/13-05:29:27.759801 UDP src: 24.24.146.64 dst: 202.196.64.32 sport: 1028 dport: 137 tgts: 7 ports: 7 event_id: 471 11/13-05:29:34.279801 UDP src: 24.24.146.64 dst: 202.196.64.72 sport: 1028 dport: 137 tgts: 8 ports: 8 event_id: 471 11/13-05:29:34.449801 UDP src: 24.24.146.64 dst: 202.196.64.73 sport: 1028 dport: 137 tgts: 9 ports: 9 event_id: 471 11/13-05:29:37.549801 UDP src: 24.24.146.64 dst: 202.196.64.92 sport: 1028 dport: 137 tgts: 10 ports: 10 event_id: 471 11/13-05:29:41.989801 UDP src: 24.24.146.64 dst: 202.196.64.119 sport: 1028 dport: 137 tgts: 11 ports: 11 event_id: 471 11/13-05:29:42.139801 UDP src: 24.24.146.64 dst: 202.196.64.120 sport: 1028 dport: 137 tgts: 12 ports: 12 event_id: 471 这段日志告诉我今天早上5点左右，有个IP是24.24.146.64的朋友，在扫描202.196.64网段的共享或者是在使用一些低级的操作系统鉴别工具来鉴别这个网段的操作系统类型（因为高级的系统指纹鉴别系统是不会扫描137端口的）详细的分析一条日志吧 11/13-05:29:27.429801 UDP src: 24.24.146.64 dst: 202.196.64.30 sport: 1028 dport: 137 tgts: 6 ports: 6 event_id: 0 UDP是使用的协议 SRC是源IP DST是目标IP SPORT是源端口 DPORT是目标端口根据上面的内容再结合攻击手段的特征，很容易就可以发现对方在做什么了。（出处：secu.zzu.edu.cn）网络的神奇作用吸引着越来越多的用户加入其中，正因如此，网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......，各项技术都需要适时应势，对应发展，这正是网络迅速走向进步的催化剂。关键词：入侵检测系统之LIDS篇	*软件教程* 聊天工具办公软件杀毒教程系统工具图形图像电脑学习应用软件网络软件苹果应用多媒体区网站教程其它教程技术开发安卓教程 *人气排行* 1Windows 0day EternalBlue(永恒之蓝... 22017好用的公共DNS推荐 3腾讯王卡1元1天宽带活动正式开发办理！ 4如何关闭防火墙 5谷歌访问助手Chrome版插件插入方式\|如何使用谷歌访问助... 6是怕不给礼金？伴娘太敬业胸挂二维码 7如何避开ONION勒索软件 ONION勒索软件如何防范 8华平终端端口关闭方法设置说明 9WannaCry蠕虫勒索病毒用户处置方法 10新版Windows 10不惧勒索病毒 *推荐资讯* 1win7系统远程桌面无法连接如何办？ 2用会声会影如何做出下雪的效果？ 3AE重置工作区弹出未知工作区该如何办? 4使用驱动人生更新系统驱动的详细设置步骤 5display block是什么意思？如何用？ 6支付宝口碑卡如何领取支付宝口碑卡有什么用 7Cool Edit Pro图文详细教程之删除原唱 8详细说明微信小程序左右滑动切换页面 9如何使用CSS3完成导航下拉菜单（附完整代码） 10iPhoneXAR技术如何用 iPhoneXAR游戏
Copyright © 2012-2018 争怎路由网(http://www.zhengzen.com) .All Rights Reserved 网站地图友情链接免责声明：本站资源均来自互联网收集如有侵犯到您利益的地方请及时联系管理删除，敬请见谅! QQ:1006262270 邮箱:kfyvi376850063@126.com 手机版