摘要 snort除了可以自己抓包分析外,还可以读取已保存的.pcap包来进行分析,这样虽然实时性和准确性有一定的影响,但却提高了snort的性能,所以某些情况下还是很有用的。
一. pcap文件从何而来? 其实抓包的工具还是比较多的,sniffer,ethereal(wireshark),tcpdump,用这些工具抓包后保存,名字如:test.pcap
二. snort读取pcap文件 1.读取单个pcap文件 $ snort -r foo.pcap
或者
$ snort --pcap-single=foo.pcap
|
2.读取多个pcap文件 $ cat foo.txt foo1.pcap
foo2.pcap
/home/foo/pcaps
$ snort --pcap-file=foo.txt
|
这样,snort讲读取foo1.cap,foo2.cap和所有/home/foo/pcaps下的pcap文件,如果该目录下含有非pcap的文件(不是指文件名,而是文件类型和文件内容),将出现错误提示无法打开。
3.以列表的形式在命令行读取$ snort --pcap-list="foo1.pcap foo2.pcap foo3.pcap"
|
4.读取指定目录下的所有pcap文件$ snort --pcap-dir="/home/foo/pcaps"
|
5.用过滤方式读取pcap文件$ cat foo.txt
foo1.pcap
foo2.pcap
/home/foo/pcaps
$ snort --pcap-filter="*.pcap" --pcap-file=foo.txt
$ snort --pcap-filter="*.pcap" --pcap-dir=/home/foo/pcaps
|
上面规则表明只读取后缀名为.pcap的文件,即使文件类型和内容为pcap文件而后缀不是.pcap的文件都会被忽略掉。
$ snort --pcap-filter="*.pcap" --pcap-file=foo.txt \
> --pcap-filter="*.cap" --pcap-dir=/home/foo/pcaps
|
上面规则表明对foo.txt中包含的文件,只读取后缀为.pcap的文件;而对/home/foo/pcaps目录下,则只读取后缀名为.cap的文件
$ snort --pcap-filter="*.pcap" --pcap-file=foo.txt \
> --pcap-no-filter --pcap-dir=/home/foo/pcaps
|
读取foo.txt包含的.pcap文件,读取pcaps目录下的所有文件
$ snort --pcap-filter="*.pcap" --pcap-file=foo.txt \
> --pcap-no-filter --pcap-dir=/home/foo/pcaps \
> --pcap-filter="*.cap" --pcap-dir=/home/foo/pcaps2
|
读取foo.txt中的.pcap文件,目录pcaps中的所有文件以及pcaps2中的.cap文件
阅读(3495) | 评论(0) | 转发(0) |