-Snort는 snort.conf 파일 또는 명령행 옵션을 통해 여러 가지 명령을 설정할 수 있다.
ex:)config nolog
|
snort.conf |
명령행 옵션 |
설명 |
|
alertfile |
없음 |
Snort가 발생시킨 모든 경고를 저장할 파일을 지정할 수 있다. |
|
bpf_file |
-F |
BPF 포맷 필터를 포함하는 파일을 지정할 때 쓰인다. |
|
checksum_mode |
없음 |
패킷 체크섬을 검사할 패킷의 종류를 지정할 때 쓰인다. 들어 갈 수 있는 값에는 all, none, noicmp, noip, notcp, noudp가 있다. |
|
chroot |
-t |
Snort의 새로운 홈디렉터리를 지정한다. 기본적으로 홈 디렉터리는 Snort 실행 파일이 위치하는 곳이다. |
|
deamon |
-D |
Snort 프로세스를 fork한다. (프로세스 복사) |
|
decode_arp |
-a |
Snort 엔진의 ARP 디코딩 기능을 활성화한다. |
|
decode_data_link |
-e |
데이터링크 패킷 데이터를 디코딩하여 분석 엔진, 경고, 로그에서 사용하도록 한다. |
|
disable_decode_alerts |
|
Snort의 디코딩 과정에서 발생한 경고를 무시하도록 한다. |
|
dump_chars_only |
-C |
문자 데이터만을 출력한다. |
|
dump_payload |
-d |
패킷의 애플리케이션 계층 데이터를 출력한다. |
|
dump_payload_verbose |
-v |
dump_payload 명령과 비슷한데 데이터 링크 계층의 데이터까지 출력한다. |
|
interface |
-i |
멀티홈 시스템에서 규칙을 적용할 인터페이스를 선언한다. |
|
logdir |
-l |
로그를 출력할 디렉터리릴 정의한다. |
|
min_ttl |
|
분석할 패킷의 최소 TTL값을 정의한다. 정의된 값보다 작은 경우 버려진다. |
|
no_promisc |
-p |
promiscuous모드를 비활성화 한다. |
|
nolog |
-N |
이 명령은 Snort 로깅을 비활성화한다. alert, activate, pass, dynamic에는 영향을 주지 않는다. |
|
obfuscate |
-O |
경고와 로그에 포함되는 IP주소의 내용을 감춘다. |
|
order |
-o |
특정한 패킷을 통과시키거나 무시하는 순서를 바꾼다. |
|
pkt_count |
-n |
지정된 수의 패킷을 캡쳐한 다음 Snort를 종료한다. |
|
quiet |
-q |
배너와 상태보고서를 비활성화한다. |
|
reference_net |
-h |
시스템의 홈 네트워크를 가리킨다. |
|
set_gid |
-g |
Snort 실행 프로그램의 gid를 변경한다. |
|
set_uid |
-u |
Snort 실행 프로그램의 uid를 변경한다. |
|
show_year |
-y |
타임스탬프 값에 연도 필드를 포함시킨다. |
|
stateful |
|
패킷 스트림 또는 트래픽 세션을 분석한다. |
|
umask |
-m |
Snort가 실행시 사용할 umask를 정의한다. |
|
utc |
-U |
캡쳐한 패킷과 이벤트에서 사용할 시간 기준을 세계 표준시에 맞춘다. |
|
verbose |
-v |
상세한 패킷 정보를 표준 출력에 남긴다. |
'툴 > Snort' 카테고리의 다른 글
| Snort 변수 (0) | 2010.11.30 |
|---|---|
| Snort 로그 (0) | 2010.11.30 |
| Snort 모드 (0) | 2010.11.30 |
| Snort를 스니퍼로 사용 (0) | 2010.11.30 |
| Snort 플러그인 (0) | 2010.11.30 |