snort的工作模式
工作模式
snort有三种工作模式:嗅探器模式、数据包记录器模式、 网络入侵检测模式
嗅探器模式 sniffer mode
从网络中抓取数据包
数据包嗅探器有以下几种用途:
- 网络分析和网络故障查找
- 网络性能和负荷量分析
- 监听明文传输的用户名密码等敏感数据
数据包记录器模式 packet logger mode
将数据包记录到硬盘中
嗅探器模式得到的输出信息都显示在屏幕上,如果要把这些数据信息记录到硬盘上并制定到一个目录中,就需要数据包记录器。
可以抓到数据链路层、TCP/IP报头、应用层的数据。
文件保存格式是二进制保存。
网络入侵检测模式 network intrusion detection system mode
分析网络中传输的数据并与入侵规则库相匹配来发现入侵行为。
如果将snort用作长期检测,那么日志会越来越多,占用空间越来越大。所以可以设置IDS模式,将网络报警信息记录到log
报警模式
当捕获的包与规则匹配,snort可以以多种模式报警。当满足了一条报警条件时,snort中的报警将做两件事:
- 向报警工具输出一个事件
- 以配置好的日志模式记录尽可能多的或需要的信息
报警机制
- fast:最常用的模式,报警信息包括一个时间戳、报警消息、源/目的IP地址和端口【在大规模高速网络中最好使用fast模式】
- full:默认的报警模式【适用于低带宽网络】
- unsock:把报警通过unix套接字发送到一个监听程序,这样可以实现实时报警
- none:将snort报警完全关闭【在高速网络环境应用统一日志的情况下很有用,可以在统一日志的时候关闭普通日志选项】
- syslog:使snort把报警消息发送到syslog。可以通过snort.conf文件修改其配置【是产生系统事件日志的守护进程】
