Chinaunix首页 | 论坛 | 博客
  • 博客访问: 525355
  • 博文数量: 118
  • 博客积分: 10028
  • 博客等级: 上将
  • 技术积分: 1820
  • 用 户 组: 普通用户
  • 注册时间: 2007-11-07 18:46
文章分类

全部博文(118)

文章存档

2009年(12)

2008年(106)

我的朋友

分类: LINUX

2008-08-04 19:23:23



摘要
   snort除了可以自己抓包分析外,还可以读取已保存的.pcap包来进行分析,这样虽然实时性和准确性有一定的影响,但却提高了snort的性能,所以某些情况下还是很有用的。


一. pcap文件从何而来?

    其实抓包的工具还是比较多的,sniffer,ethereal(wireshark),tcpdump,用这些工具抓包后保存,名字如:test.pcap

二. snort读取pcap文件

   1.读取单个pcap文件
   

$ snort -r foo.pcap

或者

$ snort --pcap-single=foo.pcap


   2.读取多个pcap文件

$ cat foo.txt
foo1.pcap
foo2.pcap
/home/foo/pcaps
$ snort --pcap-file=foo.txt


     这样,snort讲读取foo1.cap,foo2.cap和所有/home/foo/pcaps下的pcap文件,如果该目录下含有非pcap的文件(不是指文件名,而是文件类型和文件内容),将出现错误提示无法打开。

   3.以列表的形式在命令行读取

$ snort --pcap-list="foo1.pcap foo2.pcap foo3.pcap"


   4.读取指定目录下的所有pcap文件

$ snort --pcap-dir="/home/foo/pcaps"



   5.用过滤方式读取pcap文件

$ cat foo.txt
foo1.pcap
foo2.pcap
/home/foo/pcaps

$ snort --pcap-filter="*.pcap" --pcap-file=foo.txt
$ snort --pcap-filter="*.pcap" --pcap-dir=/home/foo/pcaps


   上面规则表明只读取后缀名为.pcap的文件,即使文件类型和内容为pcap文件而后缀不是.pcap的文件都会被忽略掉。

$ snort --pcap-filter="*.pcap" --pcap-file=foo.txt \
> --pcap-filter="*.cap" --pcap-dir=/home/foo/pcaps


   上面规则表明对foo.txt中包含的文件,只读取后缀为.pcap的文件;而对/home/foo/pcaps目录下,则只读取后缀名为.cap的文件


$ snort --pcap-filter="*.pcap" --pcap-file=foo.txt \
> --pcap-no-filter --pcap-dir=/home/foo/pcaps


    读取foo.txt包含的.pcap文件,读取pcaps目录下的所有文件

$ snort --pcap-filter="*.pcap" --pcap-file=foo.txt \
> --pcap-no-filter --pcap-dir=/home/foo/pcaps \
> --pcap-filter="*.cap" --pcap-dir=/home/foo/pcaps2


    读取foo.txt中的.pcap文件,目录pcaps中的所有文件以及pcaps2中的.cap文件

阅读(3495) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~