基于Snort的入侵检验系统

大公司网络及网站。当前已经存在某些保护网络架构及通信安全办法，例如防火墙、虚拟专用网(VPN)、数据加密等。入侵检测是近来儿年浮现相对较新网络安全技术。运用入侵检测技术，咱们可以从已知袭击类型中发现与否有人正在试图袭击你网络或者主机。运用入侵监测系统收集信息，咱们可以加固自己系统，及用作其她合法用途。当前市场中也有诸多弱点检测工具，涉及商品化和开放源码形式，可以用来评估网络中存在不同类型安全漏洞。•防火墙：用来制止进入及走出网络信息流。防火墙在商业化产品和开放源码产品中均有诸•弱点评估工具：用来发现并堵住网络中安全漏洞。弱点评估工具收集信息可以指引咱们设立恰当防火墙规则，以挡住恶意互联网顾客。当前有许多弱点评估工具,例如Nmap网络上信息流入侵检测系统(IDS)oIDS也涉及安装在特定主机上并检测袭击訂的是主机协同工作其她产品。这些产品涉及MySQL数据库()、入侵数据库分析管理工具ACID()。Snort可以将日记数据(例如告警和其她日记消息)记录到数据库中。MySQLSnortsApache>MySQL及ACHD共同协作，使咱们可以将入侵检测数据记录到数据此书组织构造使读者可以跟着随后章节一步一步建立一种完整入侵检测系统。安装及整第二章将简介编译及安装Snort基本知识。在这一章中，你将可以用基本安装及默认规则建立一种可以工作IDS,同步可以建立可以记录入侵活动日记文献。立自己规则。建立良好规则是构建入侵检测系统核心，因而本章非常重要。本章同步也简介成SNMPtrap信息，而此外一种output插件可以将信息转据记录到数据库以便随后分析。在这一章中，你将理解如何在MySQL中建立数据库，如何配备数据库插件，以及将日记数据记录到数据库中。第六章简介ACID,以及如何用ACID获得你在第五章建立数据库中信息，并用Apache第七章重要简介可以和Snort一起工作其她某些有用工具。在读完此书后，你将建立一种完整，具备各种组件系统，如图所示。在图中你可以看到，Snort捕获并分析数据，然后用output插件将数据储存在MySQL务器顾客可以通过浏览器显示数据。顾客可以在网页上应用不同查询来分析、备份、删除数基本上，你可以将Snort、MySQL、Apache、PHP、ACID>GD库以及ACID都安装到一台讣算机上，而事实上在读完本书后，你可以建立一种类似于如图1-2所示得更在公司中，人们普通使用各种Snort探测器，在每个路由器或者防火墙背面都放置探测器。在这种状况下，你可以用一种集中数据库来收集所有探测器信息，并在这个数据库服入侵检测是指用来检测针对网络及主机可疑活动一系列技术和办法。入侵检测系统基本可以分为两大类：基于特性入侵检测系统和异常行为检测系统。入侵者常具备用软件可以检测到特性，如病毒。入侵检测系统将检测包括已知入侵行为特性或者异常于IP合同数据包。基于一系列特性及规则，入侵检测系统可以发现并记录可疑行为并产生告警。基于异常入侵检测系统普通是分析数据包中合同头部异常，在某些状况下这种方式要比基于特性入侵检测系统要更好某些。普Snort规则存储在文本文献中，并可以用文本编辑器修改。规则以类别分组。不同类别规则存储在不同文献中。最后，这些文献被一种数据。发现入侵特性并运用规则捕获它们是一项具备技巧性工作，山于在实时检测中你应用越多规则，那么你将需要越多解决能力，因此用尽量少规则来捕获尽量多特性是非在详细理解入侵检测及Snort之前，你需要理解某些网络安全有关定义，这些定义将在这本书随后章节中重复应用。对这些名词基本理解对于理解其她更加复杂安全概是大众可以获得开放源码IDSoIDS实际能力依赖于组件复杂度及精致性。实体工DS析技术、异常检测技术，或者两者同步应用。NIDS是用来捕获在网络介质上传播数据并与特性数据库比对入侵检测系统。跟据测系统可以分析系统及应用程序日记来检测入侵行为。其中某些HIDS是被动状态，只有当某些事情发生了才会告知你，此外某些是积极状态，可以嗅探网络中针对某一主机特性是数据包中包括信息特点。特性用来检测一种或各种袭击行为。例如，目的是你web服务包中如果浮现"scripts/iisadmin，\也许意味着一种入侵尝试。依照袭击行为本质不同，特性数据也许会出当前数据包中不同位置。例如，你也许普通IDS依托特性来发现入侵行为。在发现新入侵特性时，某些商业化IDS需要告警是任何一种对入侵行为告知。当工DS检测到入侵者，它将用告警来告知安全管理员。告警形式可以使弹出窗口、终端显示及到日记文献或者数据库中，以便供安全专家察看。在本书背面，你将得到关于告警详细同一种告警发送到不同LI的，例如，将告警发送到数据库同步，产生SNMPtrap信息。某些插件可以修改防火墙配备，使入侵者在防火墙或者路山器上被/var/log/snortLI录下，但是也可以在启动Snort时用命令行开关来变化这个目录。日记信息可以存储为文本格式或者二进制格式，二进制格式文献可以供Snort或者Tcpdump随后访问，沖前也有一种叫做Barnyard新工具可以分析snort产生二进制日记文献。将日记存储为二进制文献可以有更高效率，由于这种格式开销相对较低。将误告警是错误将非入侵行为报告为入侵行为告警。例如，内部主机错误配备有时会产生触发规则，从而产生误告警。某些路山器，例如Linksys家用路由器，会产生某些信息，导致UpnP有关告警。为了避免误告警，你要修改和调试默认规则，在某些状况下，你也许需要停止某些规则使用，以避免误告警。面某些，如果用到探测器这个词，那么它是指运营Snort计算机或者其她设备。依照你网络拓扑构造不同，你应当在一种或各种位置放置IDS。IDS放置位置也要取决于你想检测入侵行为种类：内部入侵、外部入侵，或者两个都要检测。例如，如果你想仅仅检测外部入侵活动，并且你只有一种路山器接到Internet,那么放置工DS最佳位置也许紧黑着路山器或者防火墙内部网络接口。如果你有多条接入Internet借口，也许你但愿在每个入口处放置一台IDSo有时你也但愿可以检测来自内部威胁，那么可以在每个在诸多状况下，你并不需要在所有网段都实行入侵检测，你可以仅仅在敬感区域放置正如你在图1-4中看到那样，普通你应当在每个路山器和防火墙背面放置旦你理解了这些技术，你可以运用你得到信息来加固你真正服务器。肖前有诸各种构建和放置蜜罐办法。在蜜罐上应当运营某些公开服务，这些服务涉及器。例如，如果你应用服务器工P地址势1和3,那么你器某些端口访问盪定向到蜜罐上面，那么入侵者就会把蜜罐当成是真正服务器。你应当仔细考虑告警产生机制，以使你蜜罐受到威胁时候可以立即得到信息。将日记存储在其她机器上是个好主意，这样虽然黑客侵入了蜜罐，也无法删除日记文献。那么什么时候你应当安装蜜罐呢？那要依照你状况来决定：■如果你机构有足够资源用来追踪黑客，那么你应当建立一种蜜罐。所谓资源涉及硬件以及人力。如果你没有足够资源，那么安顿蜜罐就没有什么必要，要懂得获取你不■仅仅当你可以以某种方式来用蜜罐获得信息时候，蜜罐才是有用。■如果你想收集关于行为证据来起诉黑客，那么你也可以用到蜜罐。抱负状况下，蜜罐应当看起来像一种真实系统，你可以制作某些假数据文献，假账户等等，使黑客信觉得真，这样才干使黑客在上面逗留足够长时间，从而你可以记录更你可以在蜜罐项LI网站，可以找到某些你感兴趣资料，是你可以对蜜罐有进一步理解。你也可以去此外一种蜜罐网站理解她们开放源码密罐有关信息。其她某些可以获一段时间此前，人们将网络划分为两大类区域：安全区域和非安全区域。通依照不同安全方略级别和信任级别划分为各种区域。例如，公司财务部门拥有非常高此区域信任级别与财务部门迥然不同。依照信任级别和安全方略不同，你应当在不同区域中应用不同入侵检测规则和方略。对安全级别规定不同网络在物理上是分离。你可以在对安全规定不同每个区域都web服务器，指向80端口数据包将被纪录为入侵行为，而这样规则不能用在DMZ种方略必要可以批示一系列规则以及这些规则如何应用。工DS方略应当包括如下内简朴文本文献形式，或者更加复杂，也许集成到类似于HpOpenView这样网管软件或MySQL这样数据库中。在你系统中需要有人负责来监视入侵行为和制定方略。入侵行为可以通过弹出窗口或web页面实时监视。在这种状况下，操作者必要要理解告警意谁来管理工DS,维护日记等等？对于所有系统，都需要建立一种寻常维护体制EDS谁来解决安全事件？如果没有安全事件解决机制，也就主线没有必要安装IDSo依照安全事件安全级别需要，某些状况也许需要政府机构介入。事件解决程序是什么样？方略应当规定某些事件响应机制，依照涉及安全级别高低向不例行报告：总结前一天、上一周、或者上一种月所发生有关事情。特性库升级：黑客总是不断创造新袭击办法。如果IDS理解袭击特性，就可以检测到袭记或者对入侵行为完整纪录。你也可以采用各种方式来记录数据。例行报告也属于文档构Snort在逻辑上可以提成各种部件，这些部件共同工作，来检测特定功绩，并产块，在这里或者被丢弃，或者产生日记或告警。在这个某些中，咱们将简要简介这些部件。在你通读这本书并建立某些规则后，你将对这些部件以及它们之间如何互相作用更加熟悉。预解决器是Snort在探测引擎做出某些操作来发现数据包与否用来入侵之前排列或者修改数据包组件或者插件。某些预解决器也可以通过发现数据包头部异常来执行某些探测丄作，并产生告警。预解决器工作对于任何IDS探测引擎根据规则分析数据都是非常重要。黑客有诸多愚弄IDS技术。例如，你建立这样一条规则，用来在HTTP包中发现包括某些细小变通，就能很容易耍弄你。例如："scripts/./iisadmin”"scripts/examples/../iisadmin”"scripts/.\iisadmin”对web服务器来说是同样合法，要注意web服务器可以理解所有这些字符，并将它们解决成为类似于"scripts/iisadmin”这样字符。如果IDS严格匹配某一字符吊，就也许不会探测到这种类型袭击。预解决器可以将字符重新排列，以使IDS可以探测得到。预解决器也或来包分片组装。当一种大数据流传向主机时候，普通数据包会被分割。例TransferUnit)值来拟定。这就意味着如果你发送数据如果不不大于1500字节，它将将这些小分片重新组装，还原成原始数据包。在工DS上，在可以对数据包进行特性分析之别分片上面。为了使探测引擎可以精确分析特性，就需要组装所有分片。黑客也用数据分片预解决器用来对抗这些袭击oSnort预解决器可以组装数据分片，解码HTTPURI,重探测引擎是Snort中最重要某些，它作用是探测数据包中与否包括着入侵行为。探测引擎通过Snort规则来达到规则被读入到内部数据构造或者链表中，并与所有数据包比对。如果一种数据包与某一规则匹配，就会有相应动作（记录日记或告警等）产生，否则数据包就会被丢弃。探测引擎是Snort中时间有关组件，依照你机器解决能力和你所定义规则多少，探测引擎会消耗不同步间来对不同数据包做出响应。在Sno网络中数据流量过大，有时也许会由于来不及响应而丢弄某些包。探测引擎负载取决于如下你需要理解探测系统可以剖析数据包并把规则应用在高不同某些，这些某些也许是：时你可以用某些间接办法来获得应用头信息，例如位偏移等等。•包载荷。这意味着你可以建立这样一种规则，用探测引擎来寻找传播数测引擎将数据包匹配到某个规则时候，就会停止进一步过程，然后依照规则产生告警或者记录日记，这就意味着虽然如果包匹配多条规则，仅仅第一种规则被应用，并不再进行其她匹配，这样做有好处，但是除了下面状况：如果包匹配第一种规则是低优先级，就只产生低优先级告警，虽然这个包也匹配高优先级背面其她规则。这个问题在笫二版Snort中得到了修正：包先对所有规则进行匹配，然后再产生告警，在对所有规则进行匹配之后，选取最高Snort2.0还没有开始发行，早些时候测试显示新引擎比老引擎要快将近18倍。更多命令行选项将在下一章中讨论。这些选项可以用来修改日记和告警类型和细节等等。输出模块或插件可以依照你指定保存日记和告警系统产生输出信息方式来执行不同动作。基本上这些模块用来控制日记和告警系统产生输出信息格式。依照配备，输出模块可以•简朴在/var/log/snort/alerts文献或其她文献中记录日记•发送SNMPtrap•将日记记录到类似于MySQL或Oracle数据库中。你将在这本书背面理解更多关于使•修改路山其或者防火墙配备其她某些工具可以用来发送如e-mail信息或者web页面浏览等格式告警,在背面章为解决过程准备包分析合同头部，规格化头部，探测头部将包与规则比对产生告警和日记将告警和日记输出到最后目的包解码器预解决器或输入插件探测引擎输出模块换机，例如CISCO,容许你复制所有通信到你连接Snort机器那个端口上，这样端口普通指是Spanning端口。安装Snort最佳位置是直接连到路由其或者防火Snort可以在数据进入互换机或HUB之前捕获所有Internet数据流。例如，你防火墙你也可以将工DS连接到防火墙与互换之间HUB上，这样所有进入和流出通信对于但是要注意，如果IDS按图-8安顿，那么工DS将不能得到内部通信数据包，只能来见与工nternet之间通信。这种方案对于内部网络是可信，而预想袭击来自外部是非Snort新增长了一种叫做Stream4预解决器，这种预解决器可以同步解决数千并发数据流。关于它配备将在笫四章中讨论。它可以重新组装TCP数据流，并进行状态检测。这就意味着你可以组装一种特定TCP会话，并从运用各种TCP包进行袭击方式中找出异常。你也可以查找流向或（和）流出某个服务器端口数据包。Windows告警也许是错误，也许就主线收不到告警。入侵者也许会在做出实际袭击之间先让IDS失效。有许多方式来保护你系统，从通用建议到某些复杂办法，下面会提到某些办法：•一方面你可以做事悄是不要再你运营IDS探测器机器上运营任何服•新威胁浮现后，厂商会发布相应补丁，只是一种持续不断，永无休止过程。你IDS应当安装从厂商那里得到最新补丁°例如，如果你Snort在Windo运营，你应当安装所有微软发布最新安全补丁。•如果你工DS机器仅仅用来做入侵检测，那么除非完全有必要，不要在上面进行任何其她你可以在隐秘端口上运营Snort,这种端口仅仅监听进入数据包而不向外部发送任何地址用来访问这个探测器。见图1-9。在Windows系统上，你可以用一种不绑定TCP/IP合同接口，这样就不会在这个接口上浮现IP地址了。不要忘掉同步也要禁用其她合同和服务。在某些状况下，当接口不配备IP地址时候，你会遇到wincap（Windows用来捕获包库）不可用提示，如果遇到Snort可以仅仅安装为守护进程或者一种涉及诸多其她工具完整系统。如果你仅仅类似于Earnyard工具察看，本书背面将对此做出描述。在简朴安装状况下，你也可以系统上。告警信息也可以以SMB弹出窗口形式发送到Windows机器上。如果你与其他工具一起安装，你可以做某些更加复杂操作，例如将Snort数据发送到数据库并通过统用这些工具来提供具备后台数据库Web顾客界面。Snort安装方式要取决于运营环境，下面列举了某些典型安装方案以供参照，你可以依照你网络状况进行选取。供Snort管理员随后察看。由于这种方式在实际应用中分析日记成本比较高因而仅适合说，你可如下载RPM包。对Windows系统，你可如下载可执行文献安装到你系统上。单探测器Snort可应用安装适合只有一条Intern在路山器或者防火墙背面，以检测进入系统入侵者。但是要是你对所有internet流量感兴趣，你也可以将传感器放在防火墙外面。在这种安装方式中，你可以从Snort网站下载编译好版本，也可如下载源代码依照在应用系统安装中，也可以让Snort实现自动启动和关闭，这样Snort在系Windows系统中，你可以将Snort作为服务来启动或者放在启动组批解决文献中。Windows有关问题将在第8章涉及。日记将纪录为文本文献或者二进制文献，并用类似诸各种网管系统在应用。最常用商业网管系统公司有惠#>IBM.ComputerSnort最通惯用法是与数据库整合。数据库用来记录日记，并可以随后通过web界数据库服务器Snort将日记记录到数据库中，你可以通过连接到它web浏览器察看这些数据。这这样安装提供应你一种易于管理功能全面工DS,并具备和谐顾客界面。为了使你可以用数据库记录日记，你必要给Snort提供数据库顾客名称、密码、数据库名称和数据库服务器地址。在单探测器方案中，如果数据库服务器就安装在运营传感器机器上，你可以用“localhost”作为主机名。你在编译Snort时就要选取记录数据库功能，这一点在分布式环境中，你也许需要在各种位置安装Snort探测器。管理所有这些探测器并分别分析它们收集数据是一项艰难任务。在公司应用中，有某些办法可以将Snort设其中一种办法是将各种探测器连接到同一种中心数据库，如图13所示。所有探测器产生数据都存储在这个数据库中。同步运营一种类似于Apacheweb服务器。然后顾•数据库必要保证让探测器所有时间都能访问，否则，数据将丢失。•如果探测器和数据库服务器之间有防火墙，你要打开相应端口，有时这样做会与防火墙安全方略不匹配或者违背安全方略。在探测器不能直接访问数据库服务器时候，有某些变通办法。探测器可以配备为将文用SSH合同来进行安全文献传播工具。防火墙管理员要放行SSH端口通信。你可以用要注意，中心数据库服务器必要要运营SSH服务器以可以用SCP来上传数如第一章中提到那样，这本书最后口是协助你安装Snort并让所有软件包可以协同工作。当你通读此书后，你将理解这些部件之间是如何互相作用，共同工作形成一种完整入侵检测系统。本书中涉及这些软件都可以这本书网站。你也可以发现这个网站上某些脚本可以协助你轻松在一种新系统上安装这些软件包。事实上，用这本书提到这个网站上某这本书将详细简介这些部件在RedHatLinux7.3机器上安装，但是在其她版本Linux或者其她平台上过程与之类似。为了以便本书简介，所有部件都安装在/opt目录下面。但是如果用编译好软件包，安装位置也许有所不同。当你用本书上或者从本作为一种独立产品安装，在背面章节中，将简介其她某些部件。你可以得到二进制形式或者源代码形式Snorto对于大多数安装来说，编译好二进制软件包是非常好。如前面提及，如果你想为Snort定制某些特性，你需要下载源代trap、MySQL等其她特性也是同样。此外一种自己编译Snort理由是你需要理解正在开发中代码。本章将指引你一步一步安装Snorto基本安装过程是非常简朴，并且Snor匸已经提供应你包括大多数已知袭击特性预定义规则。固然，自定义安装还是要费某些工夫。在这一某些，你将理解如何安装编译好Snort和如何自己编译和安装。安装编译好RPM包非常简朴，仅需要儿步。但是如果你Snor匸是源代码形式，是需要某些时间个口录中，你会看到类似于FAQ,README文献和其她某些到这里基本安装就完毕了，你可以开始使用Snorto这个版本Snor匸并没有将对数据库支持编译进去，你只能用/var/log/snorttl录下面日记文献。这个命令将启动Sn。让守护进程，运营“ps-efw命令，你可以看到类似于下注意每次你重启机器，你都要手工启动Snort。你可以通过创立文献链接方式让这个过程自动执行，这将在本章背面讨论。为了可以用源代码安装Snort,你必要先构造它。你可以用下面简介环节来构造出存在/opt目录中。注旨在你读这本书时候也许会是更新版本，安装办法也类似。I.-contribI、一Win32III—NETIII—NETINETIIIlibnetIII—mysqlII—rpcIII—libnetI、——WIN32-Prj些软件涉及ACID,MySQL数据库templates是为那些准备自己写插件人准备，这对大多数Snort顾客没故configure脚本。如果你刚刚开始接触GNU类软件，你需要理解configure脚本是开放源码软件包通用工具，它可以用来设立参数，创立makefile,检测开发工具和你系统中库文献。运营configure脚本时候，有许多命令行选项，这些选安装位置。你可以用u./configure-help*1命令来察看可用选项，如下所 --libdir=DIR--infodir=DIR——build=BUILDLDFLAGSx方括号中值表达如果该选项如果没有被设定，系统就会选取该默认会选取默认值/usr/localePREFIX是指你运营"makeinstalln命令时候运营configure脚本典型会话如下所示。为节约空间，输出信息作了删减。注意命令.-prefix=/opt/snort输出信息作了删件，山于configure命令会产生大量信息。选项prefix告诉configuire脚本程序最后安装位置。其她选项用来使下列Snort组件生效:你一种命令也许要某些时间来完毕，这要看你讣算机能力。当你运营完第二个命令，文献就会被安装到恰当U录中去了。由于你在运营configure脚本时候选取了--prefix=/opr/snortt因而makeinstall命令将Snort二进制文献安装到如果你看到这样信息，你Snor七就安装对的了。在下•某些，你将理解如何配备和运营bit・++++++++++++++++++++++++++++++++++++++十++++++++++十+MinTTL：1TTLLimit：55++++++++十+++++++++十十++++++++++++++++++十++++++++++十+-*>Snort!<*-Snort就会依照规则做出和应动作并发出告警。告警可以以各种形式发出。在这种基本方式中,告警将彼如果你看到下而错误信息•阐明你在启动Snort没有在命令行中对的指定配备文献时候没有指定配备30MMMMM1MMMAlerc0M1Mr,该脚本将产生某些告警，如果你用守护进程模式命令行参数-c3作用是产生3个包。并II原则输丄中去了,因而不会产生屏幕输出。你可以用“manpingn命令來察看ping命令man成果成功或者失败。如果命令失败，脚本就在这里退出，不再执行下面过程。如果告警成功产生，它们一定会出当前/var/log/snort/alert文献中。脚本88如果你将Snort安装到/opt/snort目录下，你也可以用下面脚本來口动启动和停*#*#*#*#*M0MMfifiif[-f$A1ERT_FILE]Mfifi:MMNowMMAlertingMAlertMMMAborting0如果你运营脚本一切正常，你将看到下面输出信息:################################################################################################################################################################################第78到79行用來检测$ALERT_FILE文献/opt/snort/bin/snorto如果这个文献不存在，脚本就终结执彳/opt/snort/etc/snort.conf文献与否存在，如果不存在，脚本就终结执行。第113行用來启动Snort.口机器上运营Snorto如果你想让Snort监听其他接口，你要用到命令可以启动Snort使其监听网络接口ethlo你可以配备Snort使其在系统启动和关闭时候口动启动和关闭。在UNIX类机器上,你可以用脚本來完毕这项工作，在Linux中，可以在/etc/init.d/H录下创立这样脚##H*)n要注意是，启动和关闭Snort都会用这同•种文献。在某•运营级别，链接文献名第•种字符用来拟定注总脚木在同运营级别目录中链接也许会有不同名称。脚木链接文献名字依赖于在系统启动关闭过程你想监听接口。如果你想同步监听各种网络接口，那么你需要同步运营各种Snortg怵°例如，下面两你需要理解，你也可以给不同Snort进程使用不同配备文献.这样做目有诸各种。重要因素是你不同网络接口所连接网络是不同.另一种閃素是你可以让一种接DSnort将日记记录到数据库中.而此外一种记在•种系统上运营各种Snorto你可以用命令“Snort-?”-A用来设立吿警模式。吿警模式用来设立告警数抿详这个选项用来指定Sn。二匚监听网络接口。当你有各•种网络接口并想监听其屮一种时候，这个选项接口时候.也会用到这个选项。例如你只想监听比hl接口.那么在启动Snort时候用—iethlM选项.-M为便用这个选项.你腹当拆定一种文本文献。这个列表•每行只涉及一种IP地址.注总你这个选项在你做测试和报告时候是非常有用。你可<snort_file_name.rpm>z,o但正如己经看至9，如果你耍用源代码來安装，就耍多做诸多■运营configure脚本，典型命令如''configure--prefix=/opt/snort—with-mysql-with-snmp--with-opnsslz,■■■■■］（文献保存在任何•种目录中，由于在启动Snort时候你可以用命令行选项来指定。在本书例（中，这个文献察看。在这种模式中.Snort不会做任何入侵检测活动。这种模式用处并非很大，由于、勺前有诸多可以记探器模式-*>Snort!<*-=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=十=+=+=+=+=+=十=+=+=十=十=+=+=+=十=十=+=+=+=十=十=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=十=+=+=+=+=+=十=+=+=+=十=+=+=+=+=十=+=+=+=+=十=+=+=+Snort将不断地在屏幕上显示所捕获包信息直到你用Crtl-C终结Snort,这时它当前让咱们來分析Snort嗅探器模式在屏幕上显示信息。下面是一种捕获典型TCP如果分析这个输出信息，你可以得到如下关于这个包信息：你可以用更多命令行选项來显示更多关于所捕获包信息。下面命令除了可以显示-*>Snort!<*-=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+・ =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=4-=+=+=+=+=+=+=+=+=+=+=+=+=十=+=+=+=+=+=+=+=+=+=十=+=+=+=+=十=+=+=+=+=十二+FlA5p=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=4-=+=+=+=+=+=+=+=+=+ ・=+=+=+=+=+=+=十=+=+=+=+=十=+=+=+=+=+=+=+=+=+=+=+=+=+=+=十=+这个命令可以同步以ASCII方式和二进制方式显示包信息。-*>Snort!<*-ACACACACACACAAA・*=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=4-=+=+=+=+=+=+=+=+=+=+=+=+=+=+