Snort 命令参数详解

一、设置网络变量1、网络变量配置用户通过声明网络参数变量配置snort，variables可以包含字符串（路径）、IP和端口。

1）IP变量与IP列表IP有四声明方式：对IP具体声明、列表形式以及CIDR组，或者它们的任意组合。

IP变量以ipvar关键字声明。

示例：ipvar EXAMPLE [1.1.1.1,2.2.2.0/24,![2.2.2.2,2.2.2.3]]2）端口变量与列表端口列表支持端口声明及查找端口列表范围。

端口范围从0到65535.端口变量以portvar声明，示例：portvar EXAMPLE1 80portvar EXAMPLE3 anyportvar EXAMPLE4 [!70:90]portvar EXAMPLE5 [80,91:95,100:200]portvar pvar1 80portvar pvar2 [$pvar1,90]alert tcp any $EXAMPLE1 -> any $EXAMPLE2_PORT (msg:"Example"; sid:1;)alert tcp any $PORT_EXAMPLE2 -> any any (msg:"Example"; sid:2;)alert tcp any 90 -> any [100:1000,9999:20000] (msg:"Example"; sid:3;)配置服务器列表DNS服务：var DNS_SERVERS $HOME_NETSMTP服务：var SMTP_SERVERS $HOME_NETWeb 服务：var HTTP_SERVERS $HOME_NETSQL服务：var SQL_SERVERZ $HOME_NETTelnet服务：var TELNET_SERVERS $HOME_NETFTP服务：var FTP_SERVERS $HOME_NETSNMP服务：var SNMP_SERVERS $HOME_NET配置服务端口这使得snort去跟踪针对特点端口应用的攻击，如web server在端口8180上，则应这样配置：portvar HTTP_PORTS 8180不过这个值通常为80，因此定义为：portvar HTTP_PORTS 80如果希望定义多HTTP端口：portvar HTTP_PROTS [80,8080] 或者portvar HTTP_PROTS[80,8000:8080]eg：定义希望发现SHELLCODE的端口：portvar SHELLCODE_PORTS !80可能发现对ORACLE的攻击：portvar ORACLE_PORTS 1521针对FTP服务的端口：portvar FTP_PORTS 21配置rules文件路径这个可以是一个相对路径var RULE_PATH /etc/snort/rulesvar PREPROC_RULE_PATH /etc/snort/preproc_rules二、配置解码器解码器解码是数据包进入snort的第一个处理过程。

一、介绍Snort规则Snort是一个开源的网络入侵检测系统，它能够对网络中的数据进行实时的监控和分析，帮助用户发现和应对网络中的安全威胁。

Snort规则是Snort系统检测和识别网络入侵行为的基础，其功能类似于防火墙规则，用于定义和描述要监测的网络流量特征和入侵行为模式。

二、Java解析Snort规则在实际的网络安全应用中，用户通常需要对Snort规则进行定制化的调整和优化，以适应自己的网络环境和安全需求。

而Java作为一种广泛应用于企业级应用开发的编程语言，具有强大的文本处理和解析能力，因此可以很好地用于解析Snort规则。

1. Snort规则的基本结构Snort规则是由一系列的关键字和参数组成的文本字符串，用于描述需要检测和拦截的网络流量特征。

一个典型的Snort规则包括以下关键字和参数：- Action: 描述规则的动作，包括alert、log、pass、activate等。

- Protocol: 描述网络流量的传输协议，如TCP、UDP、ICMP等。

- Source/Destination IP: 描述网络流量的源位置区域和目标位置区域。

- Source/Destination Port: 描述网络流量的源端口和目标端口。

- Content: 描述需要匹配的网络流量特征。

- Options: 描述规则的其它选项和参数，如SID、Rev、Msg等。

2. Java解析Snort规则的方法Java提供了丰富的文本处理和解析工具，用户可以利用这些工具来解析和分析Snort规则。

以下是一种常用的Java解析Snort规则的方法：- 使用Java的字符串操作方法，如indexOf()、substring()等，逐一解析规则中的关键字和参数。

- 使用正则表达式，从规则文本中提取出需要匹配的网络流量特征。

- 使用Java的集合类，如HashMap、ArrayList等，将规则中的关键字和参数进行结构化的存储和管理。

snort规则语法
Snort规则语法是一种基于文本的语言，用于描述网络流量中的特定规则和事件。

它由关键词、操作符和选项组成，可以用于识别和响应网络攻击、异常流量和其他安全问题。

Snort规则语法包括以下关键词：
- alert：用于指定当规则匹配时发出的警报消息。

- log：用于指定记录匹配规则的流量的方式，例如日志文件的位置和格式。

- pass：用于指定匹配规则的流量将被放行，而不是触发警报。

- drop：用于指定匹配规则的流量将被丢弃，而不是触发警报。

- reject：用于指定匹配规则的流量将被拒绝，并向发送方发送一个重新定向消息。

- sdrop：用于指定匹配规则的流量将被静默丢弃。

操作符用于指定规则的匹配条件，例如IP地址、端口、协议类型等。

选项用于指定其他规则参数，例如匹配规则的消息、特定的数据包内容等。

Snort规则语法的基本格式如下：
[操作码] [协议] [源IP地址/网络] [源端口] -> [目的IP地址/网络] [目的端口] (选项)
例如，以下规则将匹配所有TCP流量，源IP地址为192.168.1.1，目的IP地址为任何地址，目的端口为80：
alert tcp 192.168.1.1 any -> any 80 (msg:'TCP traffic to
port 80'; sid:10001;)
在编写Snort规则时，需要考虑到网络环境、攻击类型和安全需求等因素，以确保规则能够准确地检测和响应安全事件。

同时，规则的调试和优化也是一个不断迭代的过程，需要不断地进行测试和改进。

Snort简明使用手册2007-03-22 22:28Snort2.6——USAGE（中文）1.0 开始使用snortSnort不是很难使用，但是也存在着很多的命令行选项需要掌握，并且它们中许多很多时候并不能一起使用。

这个文件的目的就是使新人能够更简单的使用snort。

在我们进行下一步之前，有一些关于snort的基本概念需要了解。

snort能够配置成三种模式运行:嗅探器(sniffer)，包记录器(packet logger)和网络入侵检测系统(NIDS)。

嗅探模式（sniffer mode）简单的读取网络中的数据包，并以连续的数据流显示在控制台上。

包记录模式（packet logger mode）把捕获的数据包记录在磁盘上。

网络入侵检测模式(NIDS mode)是最复杂的、有机的配置，在这个模式下，snort分析网络中的数据，并通过使用用户自定义的规则集进行模式匹配，并根据匹配的结果执行多种操作。

2.0 嗅探模式（sniffer mode）首先，让我们从基础开始。

如果你只是想要在屏幕上打印出TCP/IP的包头信息（嗅探模式），使用下面的命令：./snort –v使用这个命令运行snort，将只显示IP和TCP/UDP/ICMP头信息，而不显示任何其它信息。

如果你想要查看传输的有效负载信息，可以使用如下命令：./snort –vd这条命令在打印协议头信息的同时也打印相应的包数据。

如果你想要一个更详细的现实，可以使用下面的命令来打印出数据链路层头信息：./snort –vde（注：这些选项参数能够分开或者拆散成任和结合的方式。

比如上一个命令也可以写做这种方式：./snort -d -v –e来达到同样的效果）3.0 包记录模式（PACKET LOGGER MODE）好的，上面的命令运行的都相当的好。

但是如果你想要记录包到磁盘上，你需要指定一个记录目录，然后snort将自动的进入包记录模式：./snort -dev -l ./log当然，这里假设你在当前目录下有一个叫做―log‖的目录。

snort 参数Snort参数是一组配置项，用于控制Snort IDS（入侵检测系统）的行为。

Snort是一款开源入侵检测系统，它使用关键字、正则表达式和其他技术来识别具有攻击性的网络流量并将其记录在日志中，从而帮助网络安全人员识别可能存在的安全风险。

Snort参数通过配置文件指定Snort IDS的行为，以实现客户端要求的安全性和性能目标。

Snort参数可以分为四类：系统参数、检测参数、警报参数和输出参数。

一、系统参数：系统参数用于控制Snort IDS的内部性能和行为，其中包括： 1. 优先级：优先级参数指定Snort IDS处理网络流量的优先级，可以让Snort IDS优先处理某个IP地址的流量，或者忽略某IP地址的流量。

2. 连接超时：连接超时参数指定Snort IDS从连接开始到超时连接的时间，可以避免Snort IDS长期监听一个连接。

3. 日志缓冲区：日志缓冲区参数指定Snort IDS可以存储的日志数量，以及保存的日志的最大大小，以及是否在缓冲区满后清空日志。

二、检测参数：检测参数用于控制Snort IDS如何检测可疑的网络流量，其中包括： 1. 引擎：引擎参数指定Snort IDS使用的网络检测引擎，可以使用基于应用程序的检测引擎，或者使用基于流量的检测引擎。

2. 探测模式：探测模式参数指定Snort IDS使用的探测模式，可以使用规则和签名检测，或者使用端口扫描检测。

3. 规则跟踪：规则跟踪参数指定Snort IDS是否跟踪规则的变化，以及是否忽略某些特定的规则。

三、警报参数：警报参数用于控制Snort IDS如何处理发现的可疑网络流量，其中包括： 1. 警报优先级：警报优先级参数指定Snort IDS报告发现的可疑网络流量的优先级，可以让Snort IDS优先报告某些特定的流量。

2. 警报记录：警报记录参数指定Snort IDS是否在警报中记录流量的原始数据，以及警报中记录的数据的最大大小。

Snort命令参数详解用法：snort -[options]选项：-A 设置报警模式，alert = full/fast/none/unsock，详解上一篇snort简介。

-b 用二进制文件保存网络数据包，以应付高吞吐量的网络。

-B 将IP地址信息抹掉，去隐私化。

-c 使用配置文件，这会使得snort进入IDS模式，并从中读取运行的配置信息。

-d 显示包的应用层数据。

-D 以后台进程运行snort。

如无指定，Alerts将写到/var/log/snort/alert。

-e 显示数据链路层的信息。

-E 保存报警日志为windows事件日志。

-f 激活PCAP行缓冲（line buffering）。

-F 指定BPF过滤器。

-g 初始化Snort后以组ID（group ID）运行。

-G 为事件生成设置一个基础事件id值。

-h 设置本地网络为hn，如192.168.1.0/24。

-i 设置网络接口为。

可以用-W选项查询网络接口列表，然后用接口序号index指定接口。

如-i 2-I 报警时附加上接口信息。

-J 当以in-line模式运行时，这个选项将只捕获端口的报文。

-k 为all，noip，notcp，noudp，noicmp，or none设置校验和模式。

-K 设置保存文件的格式：pcap，ascii，none。

pcap是默认格式，同于-b选项的格式。

ascii是老的模式格式。

none则关闭数据包记录。

-l 设置数据包文件存放目录。

默认目录是/var/log/snort.-L 设置二进制输出文件的文件名为。

-M 当以非后台模式daemon运行时，保存信息到syslog。

-m 设置snort输出文件的权限位。

-n 出来个报文后终止程序。

-N 关闭保存日志包功能。

-o 改变应用规则的顺序。

从Alert-->Pass-->Log顺序改为Pass-->Alert-->Log，避免了设置大量BPF命令行参数来过滤alert规则。