【文章內(nèi)容簡介】 nort [options]各個參數(shù)功能如下：A：選擇設(shè)置警報(bào)的模式為full、fast、 unsock和none。full模式是默認(rèn)進(jìn)報(bào)模式，它記錄標(biāo)準(zhǔn)的alert模式到alert文件中；fast模式只記錄時間戳、消息、IP地址、端口到文件中；unsock是發(fā)送到Unix socket；none模式是關(guān)閉報(bào)警。a：是顯示ARP包。b：以Tcpdump格式記錄LOG的信息包，所有信息包都被記錄為二進(jìn)制形式，用這個選項(xiàng)記錄速度相對較快，因?yàn)樗恍枰研畔⑥D(zhuǎn)化為文本的時間。c ：使用配置文件，這個規(guī)則文件是告訴系統(tǒng)什么樣的信息要LOG，或者要報(bào)警，或者通過。C：只用ASCII碼來顯示數(shù)據(jù)報(bào)文負(fù)載，不用十六進(jìn)制。d：顯示應(yīng)用層數(shù)據(jù)。D：使snort以守護(hù)進(jìn)程的形式運(yùn)行，默認(rèn)情況下警報(bào)將被發(fā)送到/var/log/。e：顯示并記錄第二層信息包頭的數(shù)據(jù)。F：從文件中讀BPF過濾器（filters）。g ：snort初始化后使用用戶組標(biāo)志（group ID），這種轉(zhuǎn)換使得Snort放棄了在初始化必須使用root用戶權(quán)限從而更安全。h ：設(shè)置內(nèi)網(wǎng)地址到，使用這個選項(xiàng)snort會用箭頭的方式表示數(shù)據(jù)進(jìn)出的方向。i ：在網(wǎng)絡(luò)接口上監(jiān)聽I ：添加第一個網(wǎng)絡(luò)接口名字到警報(bào)輸出l ：把日志信息記錄到目錄中去。L ：設(shè)置二進(jìn)制輸出的文件名為。m ：設(shè)置所有snort的輸出文件的訪問掩碼為。M ：發(fā)送WinPopup信息到包含文件中存在的工作站列表中去，這選項(xiàng)需要Samba的支持。n ：是指定在處理個數(shù)據(jù)包后退出。N：關(guān)閉日志記錄，但ALERT功能仍舊正常工作。o：改變規(guī)則應(yīng)用到數(shù)據(jù)包上的順序，正常情況下采用AlertPassLog order，而采用此選項(xiàng)的順序是PassAlertLog order，其中Pass是那些允許通過的規(guī)則，ALERT是不允許通過的規(guī)則，LOG指日志記錄。O：使用ASCII碼輸出模式時本地網(wǎng)IP地址被代替成非本地網(wǎng)IP 地址。p：關(guān)閉混雜（Promiscuous）嗅探方式，一般用來更安全的調(diào)試網(wǎng)絡(luò)。P：設(shè)置snort的抓包截?cái)嚅L度。r ：讀取tcpdump格式的文件。s：把日志警報(bào)記錄到syslog文件，在LINUX中警告信息會記錄在/var/log/secure，在其他平臺上將出現(xiàn)在/var/log/message中。S ：設(shè)置變量n=v的值，用來在命令行中定義Snort rules文件中的變量，如你要在Snort rules文件中定義變量HOME_NET，你可以在命令行中給它預(yù)定義值。t：初始化后改變snort的根目錄到目錄。T：進(jìn)入自檢模式，snort將檢查所有的命令行和規(guī)則文件是否正確。u：初始化后改變snort的用戶ID到v：顯示TCP/IP數(shù)據(jù)報(bào)頭信息。V：顯示Snort版本并退出。y：在記錄的數(shù)據(jù)包信息的時間戳上加上年份。?：顯示Snort簡要的使用說明并退出。除了少數(shù)幾個不常用的命令，大部分的命令都在這里了，掌握這些命令后，用戶可以根據(jù)自己的需要來選擇使用不同的工作模式，下面我們來看看這三種工作模式是如何具體工作的。 SNORT的內(nèi)部工作 在Snort運(yùn)行啟動時，Snort調(diào)用Libpcap庫。當(dāng)調(diào)用libpcap函數(shù)并初始化接口時，進(jìn)入截取數(shù)據(jù)的循環(huán)模塊—pcap循環(huán)。在這個主循環(huán)—Pcaploop()，當(dāng)網(wǎng)卡從網(wǎng)絡(luò)介質(zhì)上接收數(shù)據(jù)開始，Pcap_loop便對采集來的每個數(shù)據(jù)包都ProcessPacket()函數(shù)處理，如果出錯或達(dá)到指定的處理包數(shù)就退出。(相關(guān)代碼如下) 具體就是，Pcap_loop()最后根據(jù)數(shù)據(jù)鏈路類型來選擇數(shù)據(jù)包，然后由ProcessPacket()來進(jìn)行協(xié)議分析，實(shí)施信息流的匹配。如：ProcessPaceket函數(shù)調(diào)用DecodeEthPkt函數(shù)來對以太網(wǎng)數(shù)據(jù)進(jìn)行解碼。其中DecodeEthPkt()函數(shù)再調(diào)用子函數(shù)Decode IP來對IP協(xié)議進(jìn)行解碼…… Libpcap函數(shù)功能列舉： Pcap_open_live(): 獲得數(shù)據(jù)包通用句柄。 Pcap_lookup_dev(): 指向網(wǎng)絡(luò)可用設(shè)備。 Pcap_looknet(): 初步判斷網(wǎng)絡(luò)設(shè)備本身的IP amp。 netmask。 Pcap_Dump(): 基于TCPDump的，將網(wǎng)絡(luò)數(shù)據(jù)包保存成文件。程序部分代碼如下： /* Read all packets on the device. Continue until t packets read */ pcap_loop(pcap_t *p, int t, pcap_handler callback, u_char *user) { register int n。 for (。){ //for循環(huán) if (p != NULL) { n = pcap_offline_read(p, t, callback, user)。 } else { // XXX keep reading until we get something do { n = pread_op(p, t, callback, user)。 } while (n == 0)。 } if (n = 0) return (n)。 //遇錯誤，返回 if (t 0) { t = n。 if (t = 0) return (0)。 //達(dá)到制定數(shù)量，返回 } } } pcap_loop()有幾個重要參數(shù)：，表示總共要捕捉的包的數(shù)量。在main函數(shù)初始化時，缺省設(shè)置為1，成為永真循環(huán)，一直捕捉直到程序退出： /* initialize the packet counter to loop forever */ = 1。 或者在命令行中設(shè)置要捕捉的包的數(shù)量。ParseCmdLine函數(shù)的調(diào)用中，遇到參數(shù)n。ParseCmdLine中相關(guān)語句如下： case 39。n39。: /* grab x packets and exit */ = atoi(optarg)。 ，Pcap_loop()函數(shù)有兩種提取數(shù)據(jù)模式：打開網(wǎng)卡和打開文件。 /* get the device file descriptor，打開網(wǎng)卡接口 */ pd = pcap_open_live(, snaplen, ? PROMISC : 0, READ_TIMEOUT, errorbuf)。 或者 /* open the file，打開文件 */ pd = pcap_open_offline(intf, errorbuf)。 只有以上兩種返回情況。 Snort把真實(shí)的數(shù)據(jù)包存儲在內(nèi)存中指針指向的數(shù)據(jù)結(jié)構(gòu)中。，定義了所有Snort要使用到的數(shù)據(jù)結(jié)構(gòu)，包括Tcp,Ip,以太楨，vlan楨等。Snort的這些結(jié)構(gòu)將指針指向截獲的包上來代表相應(yīng)的協(xié)議。如指向以太楨用數(shù)據(jù)指針使用_EthrHdr頭。數(shù)據(jù)結(jié)構(gòu)： Typededf struct _etherhdr { u_int8_t ether_dst[6]。 //目的地址。u_int8_t ether_src[6]。 //源地址。 u_int16_t ether_type。 //協(xié)議類型。 } typedef struct _Tcphdr { u_int16_t th_sport。 //源端口。 u_int16_t th_dport。 //目端口。 u_int32_t th_seq。 //sequence number。 u_int32_t th_ack。 //acknowledgement number。 u_int8_t th_offx2。 //offset and reserved。 u_int8_t th_flags。 //flags。 u_int16_t th_win。 //window。 u_int16_t th_sum。 //checksum。 u_int16_t th_urp。 //urgent pointer。 }Snort下的libpcap庫監(jiān)聽到數(shù)據(jù)包的無限循環(huán)，當(dāng)它從網(wǎng)卡驅(qū)動接收數(shù)據(jù)的時候，運(yùn)行ProcessPacket()函數(shù)。ProcessPacket()函數(shù)調(diào)用了DecodeEthPkt函數(shù)，DecodeEthPkt函數(shù)對以太網(wǎng)幀進(jìn)行解碼。在DecodeEthPkt函數(shù)中，DecodeIP對IP協(xié)議進(jìn)行解碼。最后，調(diào)用DecodeTCPPkt對TCP包進(jìn)行解碼。 LibPcap是用戶態(tài)的數(shù)據(jù)包截獲API函數(shù)接口，有獨(dú)立和可移植行。最初，LibPcap是為了強(qiáng)大的，健壯Tcpdump而編寫的。Snort就是依賴于LibPcap庫進(jìn)行數(shù)據(jù)包截取的程序之一(還有Ethereal等)。它的優(yōu)點(diǎn)是可以從任何Unix內(nèi)核平臺上截取數(shù)據(jù)包，而不考慮什么芯片類型的網(wǎng)卡和驅(qū)動程序。更重要的是，它可以使開發(fā)人員編寫自己的解碼，顯示，記錄等程序。Libpcap庫主要函數(shù) 1. 頭文件特征（） Libpcap庫(數(shù)據(jù)流存儲頭文件的結(jié)構(gòu)定義如下圖)。前半部分是數(shù)據(jù)庫存儲文件頭的數(shù)據(jù)結(jié)構(gòu)定義。struct pcap_file_header {bpf_u_int32 magic。u_short version_major。u_short version_minor。bpf_int32 thiszone。 /* gmt to local correction */bpf_u_int32 sigfigs。 /* accuracy of timestamps */bpf_u_int32 snaplen。 /* max length saved portion of each pkt */bpf_u_int32 linktype。 /* data link type (LINKTYPE_*) */}。/** Each packet in the dump file is prepended with this generi