kali下snort数据包嗅探

常用的命令

显示IP和TCP/UDP/ICMP包头信息

snort -v

显示应用层的数据，输出包头信息的同时显示包的数据信息

snort -vd

显示数据链路层的信息

snort -vde

更多命令参考snort手册http://www.kaiyuanba.cn/content/network/snort/Snortman.htm

仅捕获同组主机发出的icmp回显请求数据包。

sudo snort -v

采用详细模式在终端显示数据包链路层、应用层信息

sudo snort -vde

默认snort日志记录最后一级目录会以触发数据包的源IP命名。可使用组合键Ctrl+C停止snort运行。

查看Snort日志记录

如果要把所有的包记录到硬盘上，你需要指定一个日志目录，snort就会自动记录数据包：

1
2
3
4
5

cd snort-2.9.17   # 定位到snort的文件夹
mkdir log         # 新建一个log目录，用于存放日志
snort -vde -l log -h xxx.xxx.x.0/24    # 只对本地网络进行日志，告诉snort把进入C类网络<本地IP>的所有包的数据链路、TCP/IP以及应用层的数据记录到目录log中

snort -l log -b     #二进制的日志文件格式

网络速度很快，或者想使日志更加紧凑以便以后的分析，那么应该使用二进制的日志文件格式。所谓的二进制日志文件格式就是tcpdump程序使用的格式。该命令可以把所有的包记录到一个单一的二进制文件中

1
2

ifconfig #查看本机IP
snort -vde -l log -h 172.16.68.139.0/24 # 只对本地网络进行日志。

在log中查看刚刚生成的日志

将log放入wireshark中进行查看