SNORT Brasil - Principais Comandos

Snort

The Open Source Network Intrusion Detection System

Recursos

ť	Martin Roesch
	Desenvolvedor do Snort e Fundador do Sourcefire
ť	Documentação
	Informações e Manuais de como instalar o Snort.
ť	Regras
	Informações e exemplos de regras
ť	FAQ
	Dúvidas sobre o Snort ?
ť	News
	Mantenha-se atualizado de tudo que acontece no mundo Snort
ť	Links
	Lista de Links Nacionais sobre Snort

:: Principais Comandos ::

Sniffer Mode

snort -v
# mostra somente os cabeçalhos dos pacote TCP/IP na tela.
snort -vd
# mostra somente os cabeçalhos do IP, TCP, UDP e ICMP.
snort -vde
# mostra os todos os cabeçalhos e os dados contidos neles também.

Packet Logger Mode

snort -dev -l /dirdolog//log.txt
# o snort gera um arquivo chamado log.txt de todos os pacotes visto por ele. Considerando que o diretório "dirdolog" já existe, caso contrario deve-se cria-lo.
snort -dev -l ./log -h 192.168.1.0/24
# faz com que o snort capture cabeçalhos TCP/IP, data link e dados relacionados ao host 192.168.1.0 (Classe C) e armazene o resultado no subdiretório log. OBS. os dados recolhidos serão armazenado em arquivos correspondente/nomeado com cada endereço IP capturado.
snort -l ./log -b
# snort executado com a opção (-b) faz a captura total dos pacotes ao invés de capturar somente cabeçalhos ou somente dados.
snort -dv -r packet.log
# uma vez criado o arquivo com a opção (-b), pode-se usar qualquer sniffer que suporta formato binário tcpdump tais como, snort, tcpdump ou Ethereal para manipular os dados recolhidos.
snort -dvr packet.log icmp
# de posse do arquivo binário gerado pela opção (-b), pode-se então criar novas filtragens do tipo BPF interface. No nosso exemplo estamos fazendo somente a filtragem dos pacotes de ICMP contido no arquivo binário.

Network Intrusion Detection Mode - (NIDS)

snort -b -A fast -c snort.conf
snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf
# snort.conf é o nome do arquivo de configuração. Este arquivo contem as regras e ações a serem tomadas para cada pacote recolhido e confrontado com ele. O resultado do NIDS será gerado no diretório /var/log/snort, ou outro diretório previamente estipulado.
- O arquivo snort.conf deve estar presente no diretório corrente ou deve ser digitado o diretório onde ele se encontra.
- A opção -v acima faz com que o snort mostre os resultados também no monitor. Isso causa com que o snort fique um pouco lento podendo ate perder alguns pacotes por causa disso.
- A opção -e para capturar cabeçalhos do data link layer as vezes são tão importante podendo ser emitido.
snort -d -h 192.168.1.0/24 -l ./log -c snort.conf
# snort rodando com as opções básicas; ou seja, sem as opções de -v= mostra na tela e -e= cabeçalho Data Link.
snort -c snort.conf -l ./log -s -h 192.168.1.0/24
# envia alertas para o syslog opção (-s).
snort -c snort.conf -s -h 192.168.1.0/24
# cria arquivo log no diretório default e envia alertas.
snort -c snort.conf -b -M WORKSTATIONS
# gera arquivo de log no formato binário e envia alerta para o Windows Workstation.
snort -c snort.conf -b -A fast -l /var/log/snort
# cria arquivo binário e usa alerta rápido e cria arquivo log no /var/log/snort.
snort -b -A fast -c snort.conf
# gera arquivo de log no formato binário e usa alerta rápido.
snort -d -c snort.conf -l ./log -h 192.168.1.0/24 -r snort.log
# gera arquivos no formato ASCII a partir de um arquivo no formato binário.
snort -d -v -r snort.log -O -h 192.168.1.0/24
# a opção (-O) simplesmente oculta seu endereço IP. Essa opção se torna muito útil nos casos em que queremos enviar arquivos de logs para newsgroup ou qualquer outro lugar público.

^Topo^