【转】Snort 命令参数详解

转载自《Snort 命令参数详解

用法:

       snort -[options] <filters>

选项:

-A <alert>     设置报警模式,alert = full/fast/none/unsock,详解上一篇snort简介。

-b    用二进制文件保存网络数据包,以应付高吞吐量的网络。

-B <mask>   将IP地址信息抹掉,去隐私化。

-c <cf>   使用配置文件<cf>,这会使得snort进入IDS模式,并从<cf>中读取运行的配置信息。

-d    显示包的应用层数据。

-D    以后台进程运行snort。如无指定,Alerts将写到/var/log/snort/alert。

-e    显示数据链路层的信息。

-E    保存报警日志为windows事件日志。

-f    激活PCAP行缓冲(line buffering)。

-F <bpf> 指定BPF过滤器。

-g <gname> 初始化Snort后以组ID(group ID)运行。

-G <id>  为事件生成设置一个基础事件id值。

-h <hn>  设置本地网络为hn,如192.168.1.0/24。

-i <if> 设置网络接口为<if>。可以用-W选项查询网络接口列表,然后用接口序号index指定接口。如-i 2

-I    报警时附加上接口信息。

 -J <port>  当以in-line模式运行时,这个选项将只捕获<port>端口的报文。

-k <checksum mode>  为all,noip,notcp,noudp,noicmp,or none设置校验和模式。

-K <logging mode>    设置保存文件的格式:pcap,ascii, none。pcap是默认格式,同于-b选项的格式。ascii是老的模式格式。none则关闭数据包记录。

-l <ld>   设置数据包文件存放目录<ld>。默认目录是/var/log/snort.

-L <fn>   设置二进制输出文件的文件名为<fn>。

-M    当以非后台模式daemon运行时,保存信息到syslog。

-m <mask> 设置snort输出文件的权限位。

-n <count> 出来<count>个报文后终止程序。

-N    关闭保存日志包功能。

-o    改变应用规则的顺序。从Alert-->Pass-->Log顺序改为Pass-->Alert-->Log,避免了设置大量BPF命令行参数来过滤alert规则。

-O    在ASCII数据包捕获模式下混淆IP地址。

-p    关闭混杂模式。

-P<snaplen>    设置snaplen,默认值是当前网卡的MTU。

-q    安静模式,不显示标志和状态报告。

-Q    当在线(in-line)运行时,从iptables/IPQ中读取数据包。

-r <tf>   从pcap格式的文件中读取数据包。

-R <name>   为snort pidfile增加下标。

-s    使snort把报警消息发送到syslog,默认的设备是LOG_AUTHPRIV和LOG_ALERT。可以修改snort.conf文件修改其配置。

-S <n=v>   为变量n设置值为v。

-t <chroot>   初始化后将Snort的根目录改变为<chroot>。

-T    以自检测模式启动Snort。

-u <uname>   初始化后改变Snort的UID。

-U    在时间戳上用UTC时间代替本地时间。

-v    从网络上读出数据包然后显示在你的控制台上。

-V    查看版本号并退出。

-w    如果运行在802.11网中,显示管理帧。

-W    *WIN32 ONLY*列出可以网络接口。其中的Index或Device Name都可以用到-i选项中。

- X    显示包括数据链路层的原始数据包。

-y    在时间戳里显示年份。

-Z <path>   设置性能监视器(perfmon)路径。

-?   帮助信息。

长参数选项

 --logid <0xid>                 Same as -G

    --perfmon-file <file>          Same as -Z

    --pid-path <path>              Specify the path for the Snort PID file

    --snaplen <snap>               Same as -P

    --help                         Same as -?

    --dynamic-engine-lib <file>
            指定动态监测引擎文件

    --dynamic-detection-lib <file>
            指定一个动态规则库文件

    --dynamic-detection-lib-dir <path>
            指定所有动态规则库路径

    --dump-dynamic-rules <path>
            为所有加载的规则库创建根规则文件

    --dynamic-preprocessor-lib <file>
            指定动态预处理库文件

    --dynamic-preprocessor-lib-dir <path>
            指定动态预处理库路径

    --dump-dynamic-preproc-genmsg <path>
            为所有加载的预处理库生成gen-msg.map文件到路径<path>.

    --alert-before-pass
            在pass之前处理alert, drop, sdrop, or reject. 默认是pass before alert, drop, etc.

    --treat-drop-as-alert
            Converts drop, and reject rules into alert rules during startup. sdrop rules are not loaded.将drop处理为alert。

    --process-all-events
            Process all triggered events in group order, per Rule Ordering configuration.  Default stops after first group.

    --pid-path <path>
            Specify the path for Snort‘s PID file. 为SnortPID文件指定路径。

    --create-pidfile
            Create PID file, even when not in Daemon mode. 创建PID文件。

    --enable-inline-test
            Runs snort in "inline test mode". This option cannot be used with -Q. 在线测试模式。

[*][FILTERS]:过滤器选项

过滤器选项为标准的BPF格式。即,同tcpdump的过滤器表达式一致。(BPF:http://zh.wikipedia.org/wiki/BPF)
时间: 2024-10-13 18:47:26

【转】Snort 命令参数详解的相关文章

[转载]JAVA 命令参数详解:-D

原文链接:http://blog.sina.com.cn/s/blog_605f5b4f0100hlt9.html JAVA 命令参数详解: 1.-D<name>=<value> set a system property  设置系统属性. java -D参数简化加入多个jar java命令引入jar时可以-cp参数,但时-cp不能用通配符(多个jar时什么烦要一个个写,不能*.jar),面通常的jar都在同一目录,且多于1个.前些日子找到(发现)-Djava.ext.dirs太好

JAVA 命令参数详解System.setProperty(

JAVA 命令参数详解: 1.-D<name>=<value> set a system property  设置系统属性. java -D参数简化加入多个jar java命令引入jar时可以-cp参数,但时-cp不能用通配符(多个jar时什么烦要一个个写,不能*.jar),面通常的jar都在同一目录,且多于1个.前些日子找到(发现)-Djava.ext.dirs太好. 如: java -Djava.ext.dirs=lib MyClass 可以在运行前配置一些属性,比如路径什么的

Oracle中用exp/imp命令参数详解【转】

Oracle中用exp/imp命令参数详解 [用 exp 数 据 导 出]:1  将数据库TEST完全导出,用户名system 密码manager 导出到D:\daochu.dmp中   exp system/[email protected]   rows=y  indexes=y compress=n buffer=65536   feedback=100000full=y  file=d:\daochu.dmp  log=d:\daochulog.txt   owner=(ECC_BIZ,

mdadm命令 参数详解

mdadm命令参数详解 mdadm是linux下用于管理软件 raid 的工具 基本语法 : mdadm [mode] [options] [mode]  有7种: Assemble:将以前定义的某个阵列加入当前在用阵列. Build:Build a legacy array,每个device 没有 superblocks Create:创建一个新的阵列,每个device 具有 superblocks Manage: 管理阵列,比如 add 或 remove Misc:允许单独对阵列中的某个 d

Linux - Linux ls命令参数详解

-a — 全部(all).列举目录中的全部文件,包括隐藏文件(.filename).位于这个列表的起首处的 .. 和 . 依次是指父目录和你的当前目录.-l — 长(long).列举目录内容的细节,包括权限(模式).所有者.组群.大小.创建日期.文件是否是到系统其它地方的链接,以及链接的指向.-F — 文件类型(File type).在每一个列举项目之后添加一个符号.这些符号包括:/ 表明是一个目录:@ 表明是到其它文件的符号链接:* 表明是一个可执行文件.-r — 逆向(reverse).从后

Linux ls命令参数详解

下面是一个与 ls 一起使用的一些常用选项的简短列表.请记住,你可以通过阅读 ls 的说明书页(man ls)来获得选项的完整列表. -a – 全部(all).列举目录中的全部文件,包括隐藏文件(.filename).位于这个列表的起首处的 .. 和 . 依次是指父目录和你的当前目录. -l – 长(long).列举目录内容的细节,包括权限(模式).所有者.组群.大小.创建日期.文件是否是到系统其它地方的链接,以及链接的指向. -F – 文件类型(File type).在每一个列举项目之后添加一

linux基础命令参数详解之mkdir

在linux里面基本的命令写法为: 命令  [参数选项]  [文件或路径] 所要使用的命令  [这个是根据需要可变动的但是必须要和使用的命令相匹配的]  [所要处理或查阅的文件或路径] 1:make directorys 中文意思创建目录,在命令使用中的体现方式mkdir. 例1:mkdir  /data 这个命令的意思是在/(根目录)这个目录下创建data的目录. 例2:cd  /;mkdir data 这个命令的意思的先使用cd命令跳转到/(根目录)里面在使用 mkdir 创建data的命令

夺命雷公狗---夺命雷公狗---linux NO:4 Linux ls命令参数详解

下面是一个与 ls 一起使用的一些常用选项的简短列表.请记住,你可以通过阅读 ls 的说明书页(man ls)来获得选项的完整列表. -a — 全部(all).列举目录中的全部文件,包括隐藏文件(.filename).位于这个列表的起首处的 .. 和 . 依次是指父目录和你的当前目录.-l — 长(long).列举目录内容的细节,包括权限(模式).所有者.组群.大小.创建日期.文件是否是到系统其它地方的链接,以及链接的指向.-F — 文件类型(File type).在每一个列举项目之后添加一个符

Linux ls命令参数详解 &lt;转&gt;

下面是一个与 ls 一起使用的一些常用选项的简短列表.请记住,你可以通过阅读 ls 的说明书页(man ls)来获得选项的完整列表. -a – 全部(all).列举目录中的全部文件,包括隐藏文件(.filename).位于这个列表的起首处的 .. 和 . 依次是指父目录和你的当前目录. -l – 长(long).列举目录内容的细节,包括权限(模式).所有者.组群.大小.创建日期.文件是否是到系统其它地方的链接,以及链接的指向. -F – 文件类型(File type).在每一个列举项目之后添加一