и в очікуванні інших ключів. У таблиці вказані можливі ключі режиму аналізу пакетів. br/>
Табліца.1.1. Опції режиму аналізу пакетів
ОпціяОпісаніе-vВидает на екран заголовки пакетів TCP/IP в мережі Ethernet-dАналогічно попередньої опції, але відображаються також дані прикладного рівня-eАналогічно попередньої опції, але видаються також заголовки канального рівня
Розглянемо приклад використання цього режиму на практиці і введемо команду:
"Snort-vde-i3", де-i3-номер інтерфейсу з якого випливає зчитувати пакети. Snort починає швидко передавати на командний рядок безліч пакетів, що б відключити режим натисніть "ctrl + x". br/>В
Рис. 1.3. Режим аналізу пакетів
На малюнку зображена досить докладна інформація закладена в пакеті, а саме інформація канального і прикладного рівня.
.3 Режим протоколювання пакетів
Режим подібний аналізатору. Єдина відмінна риса, це занесення інформації на вільне місце жорсткого діска.Snort протоколює інформацію про пакети, які були перехоплені і оброблені згідно з вимогами введених ключів адміністратора. Щоб запустити Snort в режимі протоколювання, слід ввести аналогічні ключі, такі як в режимі аналізу (-v, d, e), і додатковий ключ-l, що задає маршрутне ім'я каталогу логів, в які Snort буде записувати пакети. br/>
snort-vde-l/snort/log/
Ця команда створить файли журналів в каталозі/snort/log /. Переконайтеся, що вказаний каталог існує, інакше програма не буде завантажуватися правильно. Так як додаток фіксує абсолютно всі перехоплені пакети з усіх можливих IP адрес, таке може відбуватися в мережі великої організації, можна звузити діапазон. Це робиться за допомогою команди-h HOME_NET, де HOME_NET - діапазон IP-адрес локальної мережі в нотації з косою межею, за якою слід префікс мережі. У цьому випадку Snort буде поміщати пакети в каталоги на основі нелокального IP-адреси в пакеті, що дозволяє легко розпізнавати "не місцевий" трафік. Якщо обидва хоста, цільовий і вихідний, є локальними, Snort поміщає пакет в каталог, відповідний стороні з великим номером порту, як би віддаючи перевагу підключали хосту перед серверним. У разі рівності номерів портів Snort за замовчуванням використовує вихідний адресу в якості каталогу для розміщення даних пакета. Зараз це може здатися несуттєвим, але якщо протоколювати сигнали про вторгнення, важливо швидко визначити, звідки виходить підозрілий трафік. p align="justify"> Враховуючи наведені міркування, командному рядку для режиму протоколювання пакетів доцільно надати наступний вигляд:
snort-vde-l/snort/log /-h 192.168.1.0/24
Тим самим внутрішня мережа задається діапазоном 192.168.1.1-254.
Можна також застосувати опцію-b для протоколювання...
