всіх даних в одному бінарному файлі, придатному для подальшого читання за допомогою аналізатора пакетів. При протоколюванні з опцією-b немає необхідності визначати домашню мережу, так як дані будуть записуватися послідовно в один великий файл. Цей метод набагато швидше для протоколювання роботи активно використовуються мереж або на повільних машинах. Він також полегшує аналіз за допомогою більш розвинених засобів, які доводиться застосовувати при перегляді великих обсягів перехоплених мережевих даних. br/>
1.4 Режим виявлення вторгнень
Даний режим використовується для фіксування підозрілих і шкідливих пакетів, з подальшим занесенням в лог Snort а. Відмітна особливість даного режиму полягає в додаванні ключа-с, який визначає шлях до конфігураційного файлу Snort. У цьому файлі міститься найважливіша і потрібна інформація, яка використовується для редагування роботи додатку. Там вказуються адреси мережі, яку слід протоколювати і шукати вторгнення, що підключаються порти, дозволені файли правил шляху до баз даних куди можна буде заносити дані роботи Snort. Так само численні тонкі налаштування конфігурації.
snort-de-l/snort/log-h 192.168.1.0/24-c/snort/etc/snort.conf
ми запустимо Snort в режимі виявлення вторгнень з використанням подразумеваемого конфігураційного файлу snort.conf.
1.5 Режими сигналізації Snort
При протоколюванні пакетів, що викликають сигнали тривоги, необхідно вибрати відповідний рівень деталізації і формат "тривожних" даних. У табл. 2 перераховані опції, які можна задавати в командному рядку після ключа-A. br/>
Таблиця 1.2. Опції режиму сигналізації Snort
ОпціяОпісаніе-A fullПолная інформація про сигнал, включаючи прикладні дані. Це мається на увазі режим сигналізації. Він буде використовуватися при відсутності специфікацій-A fastБистрий режим. Протоколюються лише заголовки пакетів і тип сигналів. Це корисно в дуже швидких мережах, але якщо потрібна додаткова судова інформація, необхідно використовувати опцію full-A unsockПосилает сигнал в UNIX-сокет з вказаним номером, на якому може слухати інша програма-A noneОтключает сигнали тривоги
Ці опції слід конфігурувати під час компіляції за допомогою ключів інструкції configure. Наприклад, спробуємо прописати створення файлу в який будуть заноситися ворожі пакети або підозрілі. У файлі конфігурації створимо рядок у місці де прописується "Step 6: Output", і дописуємо рядок "output alert_fast: alert.ids", зберігаємо і запускаємо в режимі виявлення або сигналізації, в папці snort log alert.ids тепер будуть записуватися дані про підозрілі пакетах. Можна також вписати ключ "-A console" тоді підозрілі пакети будуть дублюватися в консолі, так би мовити наочніше продемонстровані адміністратору. Інфо...
