-A:选择设置警报的模式为full、fast、
unsock和none。full模式是默认进报模式,它记录标准的alert
模式到alert文件中;fast模式只记录时间戳、消息、IP地址、端口
到文件中;unsock是发送到Unix
socket;none模式是关闭报警。
-a:是显示ARP包。
-b:以Tcpdump格式记录LOG的信息包,所有信息包都被记录为二进制形式,用这个选项记录速度相对较快,
因为它不需要把信息转化为文本的时间。
-c :使用配置文件,这个规则文件是告诉系统什么样的信息要LOG,或者要报警,或者通过。
-C:只用ASCII码来显示数据报文负载,不用十六进制。
-d:显示应用层数据。
-D:使snort以守护进程的形式运行,默认情况下警报将被发送到/var/log/snort.alert文件中去。
-e:显示并记录第二层信息包头的数据。
-F:从文件中读BPF过滤器(filters)。
-g :snort初始化后使用用户组标志(group ID),这种转换使得Snort放弃了在初始化必须使用root用户
权限从而更安全。
-h :设置内网地址到,使用这个选项snort会用箭头的方式表示数据进出的方向。
-i :在网络接口上监听
-I :添加第一个网络接口名字到警报输出
-l :把日志信息记录到目录中去。
-L :设置二进制输出的文件名为。
-m :设置所有snort的输出文件的访问掩码为。
-M :发送WinPopup信息到包含文件中存在的工作站列表中去,这选项需要Samba的支持。
-n :是指定在处理个数据包后退出。
-N:关闭日志记录,但ALERT功能仍旧正常工作。
-o:改变规则应用到数据包上的顺序,正常情况下采用Alert->Pass->Log
order,而采用此选项的顺序是Pass->Alert->Log
order,其中Pass是那些允许通过的规则,ALERT是不允许通过的规则,LOG指日志记
录。
-O:使用ASCII码输出模式时本地网IP地址被代替成非本地网IP 地址。
-p:关闭混杂(Promiscuous)嗅探方式,一般用来更安全的调试网络。
-P:设置snort的抓包截断长度。
-r :读取tcpdump格式的文件。
-s:把日志警报记录到syslog文件,在LINUX中警告信息会记录在/var/log/secure,在其他平台上将出现
在/var/log/message中。
-S :设置变量n=v的值,用来在命令行中定义Snort rules文件中的变量,如你要在Snort rules文件中定
义变量HOME_NET,你可以在命令行中给它预定义值。
-t:初始化后改变snort的根目录到目录。
-T:进入自检模式,snort将检查所有的命令行和规则文件是否正确。
-u:初始化后改变snort的用户ID到
-v:显示TCP/IP数据报头信息。
-V:显示Snort版本并退出。
-y:在记录的数据包信息的时间戳上加上年份。
-?:显示Snort简要的使用说明并退出。
除了少数几个不常用的命令,大部分的命令都在这里了,掌握这些命令后,就可以根据自己的需要来选择使用不同的工作模式,下面我们来看看这三种工作模式是如何具体工作的。
阅读(1369) | 评论(0) | 转发(0) |
