使用Snort探测轻型侵入

　　# snort -l /var/log/snort -b 

　　指定任何其他选项是没有意义的，如果你需要Snort的安装选项或者使用tcpdump，请解析出这个文件，-r表示读并处理文件。

　　# snort -vder /var/log/snort/snort-0629@1600.log 

　　对Berkeley Packet Filter解析出特定的项目

　　# snort -vder /var/log/snort/snort-0629@1600.log udp 
　　# snort -vr /var/log/snort/snort-0629@1600.log tcp 
　　# snort -ver /var/log/snort/snort-0629@1600.log icmp 

　　对Berkeley Packet Filter用man查看snort和tcpdump的其他选项。

　　网络侵入探测模式

　　现在我们进入真正的Snort工具。看一下/etc/snort/snort.conf，全局配置文件。Snort的规则设置也以文本文件形式存放在/etc/snort。最后仔细看一下这一行：

　　var HOME_NET $eth0_ADDRESS 

　　这个是按照本地网卡的网络设置来初始化Snort。

　　为了保证速度，记录每个单个的包并显示在屏幕上是不可能的。包会被丢弃，而记录文件会变得非常庞大。使用-v切换，这样就不会显示在屏幕上，我们可以不用-e，数据连接报头：

　　# snort -dl /var/log/snort -h 192.168.1.0/24 -c /etc/snort/snort.conf 

　　-h表示本地网络，-c表示使用规则设定。这是最基本的，用ASCII记录安装规则定义的包。使用-b切换记录为二进制文件。注意定义子网范围用CIDR符号。

　　这些神秘的规则设定是从哪里来得呢？两个来源：从Snort.org，包括在RPM或是下载的二进制文件中；从Martin Roesch，Snort的制作者，他设计的Snort在所有方面都很迅速：安装、运行和对攻击的反应。如果你有能力分析一个攻击和确认一个独特的信号，你可以自己写一个规则来发现并记录它。参见你下载的Snort用户手册(SnortUsersManual.pdf)，这是一个非常好的写定制规则指南。（这些文件都可以在线获得）Snort.org每天更新规则设定，你可以下载让你满意的。你可以在Snort.org上的Snort/contrib目录找到snortpp，可以用它来合并新的规则

　　在哪里配置Snort？

　　如果你有时间和资源，将Snort放到防火墙的两侧是最好的。比较一下哪些撞上你的防火墙，哪些顺利通过你的防火墙，你会非常惊讶在Internet上有如此之多的恶意攻击。Snort占用空间很少，使你可以在防火墙后运行一个简单的Snort来增加一个保护层，更加容易管理，