-OObfuscatetheloggedIPaddresses -pDisablepromiscuousmodesniffing -Psetexplicitsnaplen[sp?-ed.]ofpacket(default:1514) -qQuiet.Don'tshowbannerandstatusreport -rReadandprocesstcpdumpfile -sLogalertmessagestosyslog Yuqorida aytib o'tilganidek, SNORT uch xil rejimda ishlaydi:
Paketli sniffer rejimi:Snort ushbu rejimda ishlayotgan bo'lsa, u barcha tarmoq paketlarini o'qiydi va deshifrlaydi va stdout (ekraningiz) ga dump hosil qiladi. Snortni sniffer rejimiga o'tkazish uchun quyidagi kalitdan foydalaniladi:
–v:root@lord]#./snort –v Shuni esda tutish kerakki, ushbu rejimda faqat paket sarlavhalari ko'rsatiladi.
To'plamning sarlavhasini va mazmunini ko'rish uchun quyidagi buyruq kiritiladi:
root@lord]#./snort-X Paketni ro'yxatdan o'tkazish rejimi:Ushbu rejim paketlarni diskka yozib oladi va ularni ASCII formatida kodlaydi.
root@lord]#Snort-l<directorytologpacketsto> Ruxsatsiz kirishni aniqlash rejimi:Signal ma'lumotlari aniqlash mexanizmi tomonidan ro'yxatga olinadi (standart jurnal katalogida "alert" deb nomlangan fayl, lekin syslog, Winpop xabarlari va boshqalar ham bo‘lishi mumkin). Standart jurnal katalogi -/var/log/snort ko‘rinishida bo‘ladi, lekin "- l" kaliti yordamida o'zgartirilishi mumkin. Endi paketni tahlil qilish uchun odatiy Snort buyrug'i ko'rib chiqiladi:
root@lord]#snort-v-d-e-ieth0-h192.168.3.0/24 Bu yerda C sinfi qismtarmog‘ining 192.168.3.0-192.168.3.255 (qismtarmoq maskasi: 255.255.255.0) oralig'ini ko'rib chiqish lozim. Buning ma'nosini tushunish uchun yuqoridagi buyruqni batafsil tahlil qilish kerak:
'-v': konsol batafsil javob yuboradi.
'-d': dekodlangan dastur qatlami ma‘lumotlarining borini hosil qiladi
'-e': dekodlangan Ethernet sarlavhalarini ko'rsatadi.
'-i': paketni tahlil qilish uchun tekshiriladigan interfeysni belgilaydi.
'-h': boshqariladigan tarmoqni belgilaydi.
Keyingi misolda Snortda ogohlantirishlar yaratiladi. Snort ogohlantirishrejimlari uchta asosiy guruhga ega:
Tez: "alert"fayliga ogohlantirishlarni bitta satrda, xuddi syslogsingari yozadi.
To'liq: To'liq sarlavha dekodlangan holda 'alert' faylini yuborish uchunogohlantirishlarni yozadi.
v. None: - ogohlantirish bermaydi, so'ngra buyruq quyidagiga o'zgaradi:
root@lord]#snort-v-d-e-ieth0-h192.168.3.0/24-Afast Syslog signal xabarlarini yuborish uchun o‗rniga ‗-s ‗ kalitidan foydalaniladi.
/var/log/safeyoki/var/log/messagesogohlantirishlarquyidagibuyruqda paydobo'ladi: