kali下snort数据包嗅探
kali下snort数据包嗅探
常用的命令
显示IP和TCP/UDP/ICMP包头信息
snort -v
显示应用层的数据,输出包头信息的同时显示包的数据信息
snort -vd
显示数据链路层的信息
snort -vde
更多命令参考snort手册http://www.kaiyuanba.cn/content/network/snort/Snortman.htm
仅捕获同组主机发出的icmp回显请求数据包。
sudo snort -v
采用详细模式在终端显示数据包链路层、应用层信息
sudo snort -vde
默认snort日志记录最后一级目录会以触发数据包的源IP命名。可使用组合键Ctrl+C停止snort运行。
查看Snort日志记录
如果要把所有的包记录到硬盘上,你需要指定一个日志目录,snort就会自动记录数据包:
cd snort-2.9.17 # 定位到snort的文件夹
mkdir log # 新建一个log目录,用于存放日志
snort -vde -l log -h xxx.xxx.x.0/24 # 只对本地网络进行日志,告诉snort把进入C类网络<本地IP>的所有包的数据链路、TCP/IP以及应用层的数据记录到目录log中
snort -l log -b #二进制的日志文件格式
网络速度很快,或者想使日志更加紧凑以便以后的分析,那么应该使用二进制的日志文件格式。所谓的二进制日志文件格式就是tcpdump程序使用的格式。该命令可以把所有的包记录到一个单一的二进制文件中
ifconfig #查看本机IP
snort -vde -l log -h 172.16.68.139.0/24 # 只对本地网络进行日志。
在log中查看刚刚生成的日志
将log放入wireshark中进行查看
