Snort vd

Con esta opcin -v iniciamos snort en modo sniffer visualizando

en pantalla las cabeceras de los paquetes TCP/IP, es decir, en
modo sniffer. Esta opcin el modo verbouse y mostrar las
cabeceras IP, TCP, UDP y ICMP.

Si queremos, adems, visualizar los campos de datos que pasan por la

interface de red, aadiremos -d.

Aadiendo la opcin -e, snort nos mostrar informacin ms

detallada. Nos mostrar las cabeceras a nivel de enlace.

C:\Snort20\bin>snort -dev -l ./log

La opcin -l indica a snort que debe guardar los logs en un directorio determinado,
en este caso Error! Hyperlink reference not valid. Dentro de la carpeta log se crear
una estructura de directorios donde se archivarn los logs.

Podemos indicar la ip de la red a registrar ( -h ) y que el formato

de los logs sea en modo binario ( -b ), es decir, el modo que
entiende TCPDump o Windump, para estudiar ms a fondo con
los potentes filtros de estos programas los logs de snort. La salida
del logs en el caso de la opcin de salida binaria ya no ser una
estructura de directorios, si no, un slo archivo.

C:\Snort20\bin>snort -vde -l ./log -h 192.168.4.0/24

Running in packet logging mode

Log directory = ./log

C:\Snort20\bin>snort -l ./log -b

Running in packet logging mode

Log directory = ./log

Usando la opcin -b no har falta indicarle IP alguna de nuestra red (

-h ). Guardar todo en un mismo archivo y recoger datos de toda
nuestra red. Tampoco sern necesarias las opciones -de y por
supuesto, tampoco la opcin -v.
El archivo generado por snort en modo binario tambin podemos
leerlo con este usando la opcin -r nombrearchivo.log.

Otra opcin a toma en cuenta es -i para indicar a snort que

interface de red usar en el caso de que tengamos dos o ms. Se
hace de distinta forma dependiendo si usamos snort para Win32
o para Linux/UNIX. Para averiguar las interfaces de que
disponemos, en Win32 usaremos la opcin -W

Snort en modo NIDS.

En este apartado es donde nos centraremos ms. El modo
deteccin de intrusos de red se activa aadiendo a la lnea de
comandos de snort la opcin -c snort.conf. En este archivo,
snort.conf, se guarda toda la configuracin de las reglas,
preprocesadores y otras configuraciones necesarias para el
funcionamiento en modo NIDS.

Con al opcin -D indicar a snort que corra como un servicio. Esto es slo vlido
para las versines Linux/UNIX:

# snort -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf -D

Para las versin win32 usaremos /SERVICE /INSTALL:

C:\Snort20\bin>snort /SERVICE /INSTALL -dev -l ./log -h 192.168.4.0/24

-c ../etc/snort.conf

/SERVICE /UNINSTALL desinstala snort como servicio.

Snort en modo NIDS.

En este apartado es donde nos centraremos ms. El modo
deteccin de intrusos de red se activa aadiendo a la lnea de
comandos de snort la opcin -c snort.conf. En este archivo,
snort.conf, se guarda toda la configuracin de las reglas,
preprocesadores y otras configuraciones necesarias para el
funcionamiento en modo NIDS
Socket: Manda las alertas a travs de un socket, para que las
escuche otra aplicacin. Est opcin es para Linux/UNIX.

# snort -A unsock -c snort.conf

Console: Imprime las alarmas en pantalla.

C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24

-c ../etc/snort.conf

None: Desactiva las alarmas.

# snort -A none -c snort.conf

SMB: Permite a Snort realizar llamadas al cliente de SMB (cliente

de Samba, en Linux), y enviar mensajes de alerta a hosts Windows
(WinPopUp). Para activar este modo de alerta, se debe compilar
Snort con el conmutador de habilitar alertas SMB (enable
-smbalerts). Evidentemente este modo es para sistemas
Linux/UNIX. Para usar esta caracterstica enviando un WinPopUp
a un sistema Windows, aadiremos a la lnea de comandos de
snort: -M WORKSTATIONS.

Syslog: Enva las alarmas al syslog

C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24

-c ../etc/snort.conf -s 192.168.4.33:514

Eventlog: Registra las alertas para visualizarse a travs del visor

de sucesos de un sistema windows. Esta opcin se activar
mediante -E y slo para Win32.