• Snort manual 笔记(三)


    1.6 Reading pcap files



    Snort 不仅可以监听interface, 还可以读取和分析已经捕获的数据包.


    1.6.1 Command line arguments



    下面的命令都可以组合使用 :


    1.6.2 Examples



    Read a single pcap

    $ snort -r foo.pcap
    $ snort --pcap-single=foo.pcap
    

    Read pcaps from a file

    $ cat foo.txt
    foo1.pcap
    foo2.pcap
    /home/foo/pcaps
    $ snort --pcap-file=foo.txt
    

    这样将会读取在 /home/foo/pcaps 下的foo1.pcap foo2.pcap 注意Snort不会检查在文件夹下是否存在这两个文件.

    Read pcaps from a command line list

    $ snort --pcap-list="foo1.pcap foo2.pcap foo3.pcap"
    

    读取3个文件

    Read pcaps under a directory

    $ snort --pcap-dir="/home/foo/pcaps"
    

    读取所有在 /home/foo/pcaps 的文件

    Using filters

    $ cat foo.txt
    foo1.pcap
    foo2.pcap
    /home/foo/pcaps
    $ snort --pcap-filter="*.pcap" --pcap-file=foo.txt
    $ snort --pcap-filter="*.pcap" --pcap-dir=/home/foo/pcaps
    

    设置只读取 *.pcap

    $ snort --pcap-filter="*.pcap --pcap-file=foo.txt \
    > --pcap-filter="*.cap" --pcap-dir=/home/foo/pcaps
    

    上面的两条命令工作过程 : 首先根据foo.txt 内容筛选出 *.pcap 然后取消此规则, 根据第二条规则筛选出对应文件夹下的 *.cap

    $ snort --pcap-filter="*.pcap --pcap-file=foo.txt \
    > --pcap-no-filter --pcap-dir=/home/foo/pcaps
    

    先选出foot.txt中的*.pcap 然后将/home/foo/pcaps下的文件都载入

    $ snort --pcap-filter="*.pcap --pcap-file=foo.txt \
    > --pcap-no-filter --pcap-dir=/home/foo/pcaps \
    > --pcap-filter="*.cap" --pcap-dir=/home/foo/pcaps2
    

    先选出foot.txt中的 *.pcap 然后将/home/foo/pcaps下的文件都载入, 再筛选出/home/foo/pcaps2下的 *.cap

    Resetting state

    $ snort --pcap-dir=/home/foo/pcaps --pcap-reset
    

    这条命令会载入/home/foo/pcaps下的所有文件, 但是读取过没个pcap之后Snort会重置到之前的状态, 刷新所有buff

    Printing the pcap

    $ snort --pcap-dir=/home/foo/pcaps --pcap-show
    

    读取/home/foo/pcaps下的所有文件并且显示出pcap正在阅读哪一条


  • 相关阅读:
    限制浏览器回退
    thinkphp R方法传参
    MYSQL优化学习总结
    mysql安全小结
    深度解析PHP数组函数array_slice
    深度解析PHP数组函数array_chunk
    深度解析PHP数组函数array_combine
    深度解析PHP数组函数array_merge
    并发编程学习笔记(二十一、ArrayBlockingQueue、LinkedBlockingQueue源码分析)
    并发编程学习笔记(二十、CyclicBarrier源码分析)
  • 原文地址:https://www.cnblogs.com/ash975/p/5788602.html
Copyright © 2020-2023  润新知