Snort採用命令行方式運行。格式爲:snort -[options] <filters>。options爲選項參數;filters爲過濾器。其主要的選項參數如下:
-A:選擇設置報警模式。報警模式用來設置報警數據的詳細程度。可用的模式有full、fast、console、unsock和none。full模式是默認警報模式,它記錄標準的alert模式到alert文件中;fast模式只記錄時間戳、消息、IP地址、端口到文件中,用於運行在高速網絡環境中的Snort;console模式是在屏幕上顯示報警而不記錄到文件;unsock是發送到UNIX socket;none模式關閉報警。
-b:以tcpdump格式記錄LOG的信息包,所有信息包都被記錄爲二進制形式,用該選項記錄速度相對較快,因爲它不需要把信息轉化爲文本的時間,用戶隨後可以用tcpdump程序來查看數據。
-c:這是最常用的選項,用來指定配置文件snort.conf的位置。如果執行該選項,Snort就會去指定路徑尋找snort.conf文件。例如,如果snort.conf文件在/etc目錄中,我們要用命令行選項“-c /etc/snort.conf”來啓動Snort。
-r:讀取tcpdump格式的文件。
-i:設置網絡接口。可以用-W選項查詢網絡接口列表,然後用接口序號index指定接口。如-i 2。
Snort的<filters>是標準的BPF格式的過濾器。Snort應用了BPF機制,可以在探測器上書寫和執行BPF規則的文件。BPF機制允許用戶書寫快速的包分析規則,這些規則主要基於源、目的、和其他的頭信息。通過嗅探和BPF,我們可以只捕獲流量,這樣就減輕了需要處理的數據量。
BPF機制很容易理解,可以用於分析TCP、UDP、IP和ICMP協議。規則語法很像自然的口語,使用“and”和“or”作爲規則操作符,用“not”作爲取反符,此處還可以用括號來告訴引擎將一系列數據作爲一個整體來處理。
例如:ICMP捕獲:icmp。
telnet請求數據包捕獲:tcp and dst port 23。
記錄所有源自網絡192.168.0.0/24,目的是202.98.0.0/24的IP流量:ip and "src net 192.168.0 " and "dst net 202.98.0 " 。
參考: