본문 바로가기
툴/Snort

Snort 명령 사용

by ITPro 2010. 11. 30.

-Snort는 snort.conf 파일 또는 명령행 옵션을 통해 여러 가지 명령을 설정할 수 있다.

ex:)config nolog

snort.conf

명령행 옵션

설명

alertfile

없음

Snort가 발생시킨 모든 경고를 저장할 파일을 지정할 수 있다.

bpf_file

-F

BPF 포맷 필터를 포함하는 파일을 지정할 때 쓰인다.

checksum_mode

없음

패킷 체크섬을 검사할 패킷의 종류를 지정할 때 쓰인다. 들어 갈 수 있는 값에는 all, none, noicmp, noip, notcp, noudp가 있다.

chroot

-t

Snort의 새로운 홈디렉터리를 지정한다. 기본적으로 홈 디렉터리는 Snort 실행 파일이 위치하는 곳이다.

deamon

-D

Snort 프로세스를 fork한다. (프로세스 복사)

decode_arp

-a

Snort 엔진의 ARP 디코딩 기능을 활성화한다.

decode_data_link

-e

데이터링크 패킷 데이터를 디코딩하여 분석 엔진, 경고, 로그에서 사용하도록 한다.

disable_decode_alerts

 

Snort의 디코딩 과정에서 발생한 경고를 무시하도록 한다.

dump_chars_only

-C

문자 데이터만을 출력한다.

dump_payload

-d

패킷의 애플리케이션 계층 데이터를 출력한다.

dump_payload_verbose

-v

dump_payload 명령과 비슷한데 데이터 링크 계층의 데이터까지 출력한다.

interface

-i

멀티홈 시스템에서 규칙을 적용할 인터페이스를 선언한다.

logdir

-l

로그를 출력할 디렉터리릴 정의한다.

min_ttl

 

분석할 패킷의 최소 TTL값을 정의한다. 정의된 값보다 작은 경우 버려진다.

no_promisc

-p

promiscuous모드를 비활성화 한다.

nolog

-N

이 명령은 Snort 로깅을 비활성화한다. alert, activate, pass, dynamic에는 영향을 주지 않는다.

obfuscate

-O

경고와 로그에 포함되는 IP주소의 내용을 감춘다.

order

-o

특정한 패킷을 통과시키거나 무시하는 순서를 바꾼다.

pkt_count

-n

지정된 수의 패킷을 캡쳐한 다음 Snort를 종료한다.

quiet

-q

배너와 상태보고서를 비활성화한다.

reference_net

-h

시스템의 홈 네트워크를 가리킨다.

set_gid

-g

Snort 실행 프로그램의 gid를 변경한다.

set_uid

-u

Snort 실행 프로그램의 uid를 변경한다.

show_year

-y

타임스탬프 값에 연도 필드를 포함시킨다.

stateful

 

패킷 스트림 또는 트래픽 세션을 분석한다.

umask

-m

Snort가 실행시 사용할 umask를 정의한다.

utc

-U

캡쳐한 패킷과 이벤트에서 사용할 시간 기준을 세계 표준시에 맞춘다.

verbose

-v

상세한 패킷 정보를 표준 출력에 남긴다.


반응형

' > Snort' 카테고리의 다른 글

Snort 변수  (0) 2010.11.30
Snort 로그  (0) 2010.11.30
Snort 모드  (0) 2010.11.30
Snort를 스니퍼로 사용  (0) 2010.11.30
Snort 플러그인  (0) 2010.11.30

바로가기