如何知道与 snort 中的内容选项匹配的数据包的 ip 地址?
how to know ip address of packets which matched by content option in snort?
我正在使用 snort-2.9.7.0,我通过这个简单的代码检查数据包:
alert tcp any any -> $HOME_NET any (msg:"FB found in packet content!!!"; content:"FB"; sid:10000; )
我想知道数据包来自哪里并存储它。指导我。
谢谢和问候。
您应该调整警报的输出格式;为此,请在您的配置文件中添加此行:
output alert_fast: <full path to output file>/snort.log
像你一样here 这将打印包含完整数据包 headers 的 Snort 警报消息,其中包含源和目标 IP 地址,并将保存在 snort.log 文件中。
编辑: 日志文件可以在任何你喜欢的地方,它的名字可以由你决定。例如:
output alert_fast: ~/Desktop/my_snort_log.txt
我正在使用 snort-2.9.7.0,我通过这个简单的代码检查数据包:
alert tcp any any -> $HOME_NET any (msg:"FB found in packet content!!!"; content:"FB"; sid:10000; )
我想知道数据包来自哪里并存储它。指导我。
谢谢和问候。
您应该调整警报的输出格式;为此,请在您的配置文件中添加此行:
output alert_fast: <full path to output file>/snort.log
像你一样here 这将打印包含完整数据包 headers 的 Snort 警报消息,其中包含源和目标 IP 地址,并将保存在 snort.log 文件中。
编辑: 日志文件可以在任何你喜欢的地方,它的名字可以由你决定。例如:
output alert_fast: ~/Desktop/my_snort_log.txt