[特殊字符]️ Snort 与 Suricata 入侵检测系统详解
📌 一、Snort 入侵检测系统
🔷 1. 工具简介
Snort 是由 Cisco 维护的开源网络入侵检测/防御系统(NIDS/NIPS),可对网络流量进行实时捕获、协议解析、攻击检测及日志记录。它是最早也最广泛使用的 IDS 工具之一。
🔷 2. 常用命令参数
| 参数 | 说明 |
|---|---|
-i eth0 | 指定监听的网卡接口(例如 eth0) |
-c | 指定配置文件路径(如 /etc/snort/snort.conf) |
-A | 告警输出模式(见下表) |
-l | 日志输出目录 |
-K ascii | 设置日志格式为 ASCII,方便查看 |
-T | 测试配置文件是否有效(不实际运行 Snort) |
告警输出模式(-A):
| 模式 | 描述 |
|---|---|
fast | 简洁模式,快速记录日志,适合生产环境日志文件 |
full | 输出完整包信息,适合调试 |
console | 告警直接打印到终端,适合调试使用 |
none | 不输出告警(调试用) |
unsock | UNIX Socket 输出模式(用于高级集成场景) |