snort-2.9.7.0을 사용하고 있는데이 간단한 코드로 패킷을 검사합니다.
alert tcp any any -> $HOME_NET any (msg:"FB found in packet content!!!"; content:"FB"; sid:10000;) 패킷이 어디서 왔는지 알고 싶습니다. 나를 안내 해줘.
감사합니다.snort에서 content 옵션과 일치하는 패킷의 IP 주소를 아는 방법?
알림의 출력 형식을 조정해야합니다. 어떻게 그 설정 파일에 다음 행을 추가 :
output alert_fast: <full path to output file>/snort.log
당신이 here이 소스 및 대상 IP 주소를 포함하고 snort.log 파일에 저장됩니다 전체 패킷 헤더 스 노트 경고 메시지를 인쇄 할 수있다.
EDIT : 로그 파일은 원하는 어떤 장소 에나있을 수 있으며 이름은 사용자가 결정할 수 있습니다. 예를 들어이 명령을 실행
output alert_fast: ~/Desktop/my_snort_log.txt
.log 파일을 읽을 수 없습니다. snort가 무엇을 캡처했는지 알고 싶습니다. –
내 편집을 참조하십시오. – sajad
"sudo는 콧김 -A 콘솔을 -q -c /etc/snort/snort.conf 파일 -i wlan0"는 호스트와 클라이언트 주소를 표시하지만, 우리는 전체 패킷 콘텐츠를 표시 할 수 있습니다 ??? –