使用者25094786412932021-07-02 14:12:18Snort能夠對網路上的資料包進行抓包分析,但區別於其它嗅探器的是,它能根據所定義的規則進行響應及處理。
Snort 透過對獲取的資料包,進行各規則的分析後,根據規則鏈,可採取:Activation(報警並啟動另外一個動態規則鏈)、Dynamic(由其它的規則包呼叫)、
Alert(報警),Pass(忽略),Log(不報警但記錄網路流量)五種響應的機制。
Snort有資料包嗅探,資料包分析,資料包檢測,響應處理等多種功能,每個模組實現不同的功能,各模組都是用外掛的方式和Snort相結合,功能擴充套件方便。
Snort透過在網路TCP/IP的5層結構的資料鏈路層進行抓取網路資料包,抓包時需將網絡卡設定為混雜模式,根據作業系統的不同採用libpcap或winpcap函式從
網路中捕獲資料包;然後將捕獲的資料包送到包解碼器進行解碼。