snortでパケット内容(ヘッダ&データ)のテキスト形式でのフル出力の仕方は?

解決済

質問者：YYoshikawa
質問日時：2004/12/28 14:40
回答数：4件

こんにちは。

RedHat9
|
vine3.1

としています。

RedHat9のディレクトリをvine3.1にてNFSマウントする時に
RedHat9のportmapからvine3.1に与えられるランダムのポートが何番なのか
RedHat9のsnortで知りたく思っています。
tcpdumpはバイナリでしか出力されなくて、snortはテキスト形式でも出力してくるらしいのです。
(パイプ処理やテキストファイルにリダイレクトしたいのでsnortの方がいいかなと思います)

snort 2.0.4 をRedHat9で使用しています。

[root@rh9]# snort -A cmd

としたのですが(snort2.0.1についての参考書にて)
「ERROR: Unknown commnd line alert options:cmd
Fatal Error,Quitting...」
となっています。

どうすれば、テキスト形式にフル出力させれるのでしょうか?

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (4件)

ベストアンサー優先
最新から表示
回答順に表示

No.3ベストアンサー

回答者： fofof
回答日時：2005/02/02 16:28

まだ見られているかわかりませんが…

# snort -d -c /etc/snort/snort.conf -l ./test_snort.log -h 192.168.0.0/24 -r snort.log
の、-r snort.log は、事前に tcpdump 形式でとっておいたログを読み込ませるために使います。ですから、普通に動作させるのならば、
# snort -d -c /etc/snort/snort.conf -l ./test_snort.log -h 192.168.0.0/24
とすればよいかと。

逆に言うと、tcpdump でログをとっておいて、それを snort で見ることができるわけです。
# tcpdump -i eth0 -w tcpdump.log
^C
# snort -d - c- /etc/snort/snort.conf -l ./test_snort.log -h 192.168.0.0/24 -r tcpdump.log

ちなみに、tcpdump って、オプションとか特につけないと逆にテキスト形式で出力されると思います。ただ、フィルタの条件を書かないと、キャプチャしたパケットの内容をすべて出してくれるので、逆に流れて行ってしまい、環境によっては非常に使いにくいかと思います。フィルタ条件さえ書けるようになれば、非常にお手軽で便利ですが。
# tcpdump -i eth0

単に、やりとりされているパケットを観察するという目的ならば、ethereal などを使われてはいかがでしょうか? 日本語の解説ページもいっぱいあると思いますよ。

参考URL：http://www.ethereal.com/

- 0
- 件

通報する

この回答へのお礼

遅くなってしまいました。
お陰さまで迚も参考になりました。
どうも有り難うございました。

通報する

お礼日時：2006/09/23 15:03

No.4

回答者： fofof
回答日時：2005/02/02 16:42

ちょっと元の質問内容からずれていたようなので、補足しておきます。

snort を用いて、すべてのパケットを見る場合は、
# snort -vde -i eth0

これらをテキスト形式の log として残しておきたいのならば、
# snort -vde -i eth0 -l ./snort.log

で行けるかと思います。

この回答への補足

ご回答大変有難うございます。

> まだ見られているかわかりませんが…
> # snort -d -c /etc/snort/snort.conf -l ./test_snort.log -h
> 192.168.0.0/24 -r snort.log
> の、-r snort.log は、事前に tcpdump 形式でとっておいたログを読み
> 込ませるために使います。
そうでした。大変失礼致しました。

> ですから、普通に動作させるのならば、
> # snort -d -c /etc/snort/snort.conf -l ./test_snort.log -h
> 192.168.0.0/24
> とすればよいかと。
有難うございます。

> ethereal などを使われてはいかがでしょうか? 日本語の解説ページもいっぱいある
> と思いますよ。
>
> 参考URL：http://www.ethereal.com/
有難うございます。参考にさせていただきます。

> snort を用いて、すべてのパケットを見る場合は、
> # snort -vde -i eth0
> これらをテキスト形式の log として残しておきたいのならば、
> # snort -vde -i eth0 -l ./snort.log
> で行けるかと思います。
これを行いたかったのです。
これでリアルタイムに出力されました。
所で、自宅マシン(グロアドはxxx.xxx.xxx.xxx)を外出先からキャプチャリングしたくて
# snort -vde -i ppp0 -c /etc/snort/snort.conf -h xxx.xxx.xxx.xxx.xxx/0
ERROR: Bad CIDR block [0:0], 1 to 32 please!
Fatal Error, Quitting..
# snort -vde -i ppp0 -c /etc/snort/snort.conf -h xxx.xxx.xxx.xxx
ERROR: No netmask specified for home network!
Fatal Error, Quitting..

となってしまいました。
特定のホストを指したい時にはネットマスクはどのように記述しなければならないのでしょうか?

補足日時：2005/02/12 14:53

通報する

- 0
- 件

通報する

この回答へのお礼

遅くなってしまいました。
お陰さまで迚も参考になりました。
どうも有り難うございました。

通報する

お礼日時：2006/09/23 15:03

No.2

回答者： raze
回答日時：2004/12/30 22:19

これじゃだめ　？

http://www.snort.gr.jp/transdoc/html/doc006.html

この回答への補足

遅くなってしまいして申し訳有りません。

> これじゃだめ　？
> http://www.snort.gr.jp/transdoc/html/doc006.html
有難うございます。

> # snort -d -c snort.conf -l ./log -h 192.168.1.0/24 -r snort.log
> いったんこれを行えば、データはすべてデコードされた標準形式でログ・ディレクトリに出力されます。
> すごいと思いませんか？
これはカレントディレクトリlogかに送信元・送信先ホストが192.168.1.0/24のパケットのデータ内容をlogディレクトリ下にテキスト形式でsnort.logaとして出力させるとという意味ですかね。

# snort -d -c /etc/snort/snort.conf -l ./test_snort.log -h 192.168.0.0/24 -r snort.log
Running in IDS mode
Log directory = ./test_snort.log
TCPDUMP file reading mode.
Reading network traffic from "snort.log" file.
ERROR: unable to open file "snort.log" for readback: snort.log: No such file or directory
Fatal Error, Quitting..
# snort -d -A full -c /etc/snort/snort.conf -l ./test_snort.log -h 192.168.0.0/24 -r snort.log
Running in IDS mode
Log directory = ./test_snort.log
TCPDUMP file reading mode.
Reading network traffic from "snort.log" file.
ERROR: unable to open file "snort.log" for readback: snort.log: No such file or directory
Fatal Error, Quitting..

となったのですが記述の仕方を間違っているのでしょうか?