- ベストアンサー
snortでパケット内容(ヘッダ&データ)のテキスト形式でのフル出力の仕方は?
こんにちは。 RedHat9 | vine3.1 としています。 RedHat9のディレクトリをvine3.1にてNFSマウントする時に RedHat9のportmapからvine3.1に与えられるランダムのポートが何番なのか RedHat9のsnortで知りたく思っています。 tcpdumpはバイナリでしか出力されなくて、snortはテキスト形式でも出力してくるらしいのです。 (パイプ処理やテキストファイルにリダイレクトしたいのでsnortの方がいいかなと思います) snort 2.0.4 をRedHat9で使用しています。 [root@rh9]# snort -A cmd としたのですが(snort2.0.1についての参考書にて) 「ERROR: Unknown commnd line alert options:cmd Fatal Error,Quitting...」 となっています。 どうすれば、テキスト形式にフル出力させれるのでしょうか?
- YYoshikawa
- お礼率82% (179/216)
- ネットワーク
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
まだ見られているかわかりませんが… # snort -d -c /etc/snort/snort.conf -l ./test_snort.log -h 192.168.0.0/24 -r snort.log の、-r snort.log は、事前に tcpdump 形式でとっておいたログを読み込ませるために使います。ですから、普通に動作させるのならば、 # snort -d -c /etc/snort/snort.conf -l ./test_snort.log -h 192.168.0.0/24 とすればよいかと。 逆に言うと、tcpdump でログをとっておいて、それを snort で見ることができるわけです。 # tcpdump -i eth0 -w tcpdump.log ^C # snort -d - c- /etc/snort/snort.conf -l ./test_snort.log -h 192.168.0.0/24 -r tcpdump.log ちなみに、tcpdump って、オプションとか特につけないと逆にテキスト形式で出力されると思います。ただ、フィルタの条件を書かないと、キャプチャしたパケットの内容をすべて出してくれるので、逆に流れて行ってしまい、環境によっては非常に使いにくいかと思います。フィルタ条件さえ書けるようになれば、非常にお手軽で便利ですが。 # tcpdump -i eth0 単に、やりとりされているパケットを観察するという目的ならば、ethereal などを使われてはいかがでしょうか? 日本語の解説ページもいっぱいあると思いますよ。
- 参考URL:
- http://www.ethereal.com/
その他の回答 (3)
- fofof
- ベストアンサー率88% (8/9)
ちょっと元の質問内容からずれていたようなので、補足しておきます。 snort を用いて、すべてのパケットを見る場合は、 # snort -vde -i eth0 これらをテキスト形式の log として残しておきたいのならば、 # snort -vde -i eth0 -l ./snort.log で行けるかと思います。
お礼
遅くなってしまいました。 お陰さまで迚も参考になりました。 どうも有り難うございました。
補足
ご回答大変有難うございます。 > まだ見られているかわかりませんが… > # snort -d -c /etc/snort/snort.conf -l ./test_snort.log -h > 192.168.0.0/24 -r snort.log > の、-r snort.log は、事前に tcpdump 形式でとっておいたログを読み > 込ませるために使います。 そうでした。大変失礼致しました。 > ですから、普通に動作させるのならば、 > # snort -d -c /etc/snort/snort.conf -l ./test_snort.log -h > 192.168.0.0/24 > とすればよいかと。 有難うございます。 > ethereal などを使われてはいかがでしょうか? 日本語の解説ページもいっぱいある > と思いますよ。 > > 参考URL:http://www.ethereal.com/ 有難うございます。参考にさせていただきます。 > snort を用いて、すべてのパケットを見る場合は、 > # snort -vde -i eth0 > これらをテキスト形式の log として残しておきたいのならば、 > # snort -vde -i eth0 -l ./snort.log > で行けるかと思います。 これを行いたかったのです。 これでリアルタイムに出力されました。 所で、自宅マシン(グロアドはxxx.xxx.xxx.xxx)を外出先からキャプチャリングしたくて # snort -vde -i ppp0 -c /etc/snort/snort.conf -h xxx.xxx.xxx.xxx.xxx/0 ERROR: Bad CIDR block [0:0], 1 to 32 please! Fatal Error, Quitting.. # snort -vde -i ppp0 -c /etc/snort/snort.conf -h xxx.xxx.xxx.xxx ERROR: No netmask specified for home network! Fatal Error, Quitting.. となってしまいました。 特定のホストを指したい時にはネットマスクはどのように記述しなければならないのでしょうか?
- raze
- ベストアンサー率15% (74/486)
お礼
遅くなってしまいました。 お陰さまで迚も参考になりました。 どうも有り難うございました。
補足
遅くなってしまいして申し訳有りません。 > これじゃだめ ? > http://www.snort.gr.jp/transdoc/html/doc006.html 有難うございます。 > # snort -d -c snort.conf -l ./log -h 192.168.1.0/24 -r snort.log > いったんこれを行えば、データはすべてデコードされた標準形式でログ・ディレクトリに出力されます。 > すごいと思いませんか? これはカレントディレクトリlogかに送信元・送信先ホストが192.168.1.0/24のパケットのデータ内容をlogディレクトリ下にテキスト形式でsnort.logaとして出力させるとという意味ですかね。 # snort -d -c /etc/snort/snort.conf -l ./test_snort.log -h 192.168.0.0/24 -r snort.log Running in IDS mode Log directory = ./test_snort.log TCPDUMP file reading mode. Reading network traffic from "snort.log" file. ERROR: unable to open file "snort.log" for readback: snort.log: No such file or directory Fatal Error, Quitting.. # snort -d -A full -c /etc/snort/snort.conf -l ./test_snort.log -h 192.168.0.0/24 -r snort.log Running in IDS mode Log directory = ./test_snort.log TCPDUMP file reading mode. Reading network traffic from "snort.log" file. ERROR: unable to open file "snort.log" for readback: snort.log: No such file or directory Fatal Error, Quitting.. となったのですが記述の仕方を間違っているのでしょうか?
- raze
- ベストアンサー率15% (74/486)
適当にぐぐってみても見当たらないということ なのかな ? 日本語のマニュアルないんだっけ ? Windows版Snortを使っているのでわからないや。 ごめんなさい。でも、ちょっとガサガサ漁ってみますよ。
お礼
遅くなってしまいました。 お陰さまで迚も参考になりました。 どうも有り難うございました。
補足
はい。ぐぐってみたり、manを見ては見たのですが、、、
お礼
遅くなってしまいました。 お陰さまで迚も参考になりました。 どうも有り難うございました。