關於 Snort：

• 開源
• 基於規則的網路入侵偵測與防禦系統。

Snort的模式:

1. Sniffer Mode : 讀取 IP 封包，並即時顯示出來。
2. Packet Logger Mode : 將所有進出網路的 IP 封包記錄下來。
3. NIDS\NIPS Mode : 根據使用者自訂的規則，偵測並記錄 / 丟棄惡意封包。

Snort 的功能：

• 即時流量分析
• 攻擊與探測行為偵測
• 封包日誌記錄
• 協定分析
• 實時警報
• 模組與外掛支援

Snort 設定檔

設定檔是 Snort 的統一管理檔案，負責定義：

• 規則
• 外掛
• 偵測機制
• 預設行為
• 輸出格式

可以建立多個設定檔來應對不同的需求或情境，但執行時只能載入一個設定檔。

Snort參數：

• -V or —version : 顯示Snort的版本資訊
• -c : 指定要使用的設定檔
• -T : 測試設定是否有效
• -q : 不會顯示初始化資訊

Snort : Sniffer mode參數:

• -v :verbose
• -d :顯示封包內的payload
• -e :顯示連結層資訊
• -X :已時十六進位格式顯示封包
• -i : 指定要監聽的網路介面

Snort : Logger mode參數:

-l :指定記錄輸出的資料夾

-K ASCII :以ascii格式紀錄封包

-r :指定讀取之前紀錄的檔案

-n :指定處理 or 讀取的封包數，達到數量後自動停

Snort : IDS/IPS mode參數:

• -c :指定要使用的設定檔
• -T :測試設定是否有效
• -N :停用記錄功能
• -D :背景執行
• -A :設定警報模式
  • full :完整(預設)
  • fast :簡潔模式
  • console :在terminel顯示fast模式
  • cmg :顯示基本標頭與payload
  • none :停用

Snort PCAP mode參數:

• -r or —pcap-single= : 讀取單一pcap檔
• —pcap-list=”” : 一次讀取多個pcap檔
• —pcap-show: 在終端機顯示目前處理的檔名