1.6 Reading pcap files
Snort 不仅可以监听interface, 还可以读取和分析已经捕获的数据包.
1.6.1 Command line arguments
下面的命令都可以组合使用 :
1.6.2 Examples
Read a single pcap
$ snort -r foo.pcap
$ snort --pcap-single=foo.pcap
Read pcaps from a file
$ cat foo.txt
foo1.pcap
foo2.pcap
/home/foo/pcaps
$ snort --pcap-file=foo.txt
这样将会读取在 /home/foo/pcaps 下的foo1.pcap foo2.pcap 注意Snort不会检查在文件夹下是否存在这两个文件.
Read pcaps from a command line list
$ snort --pcap-list="foo1.pcap foo2.pcap foo3.pcap"
读取3个文件
Read pcaps under a directory
$ snort --pcap-dir="/home/foo/pcaps"
读取所有在 /home/foo/pcaps 的文件
Using filters
$ cat foo.txt
foo1.pcap
foo2.pcap
/home/foo/pcaps
$ snort --pcap-filter="*.pcap" --pcap-file=foo.txt
$ snort --pcap-filter="*.pcap" --pcap-dir=/home/foo/pcaps
设置只读取 *.pcap
$ snort --pcap-filter="*.pcap --pcap-file=foo.txt \
> --pcap-filter="*.cap" --pcap-dir=/home/foo/pcaps
上面的两条命令工作过程 : 首先根据foo.txt 内容筛选出 *.pcap 然后取消此规则, 根据第二条规则筛选出对应文件夹下的 *.cap
$ snort --pcap-filter="*.pcap --pcap-file=foo.txt \
> --pcap-no-filter --pcap-dir=/home/foo/pcaps
先选出foot.txt中的*.pcap 然后将/home/foo/pcaps下的文件都载入
$ snort --pcap-filter="*.pcap --pcap-file=foo.txt \
> --pcap-no-filter --pcap-dir=/home/foo/pcaps \
> --pcap-filter="*.cap" --pcap-dir=/home/foo/pcaps2
先选出foot.txt中的 *.pcap 然后将/home/foo/pcaps下的文件都载入, 再筛选出/home/foo/pcaps2下的 *.cap
Resetting state
$ snort --pcap-dir=/home/foo/pcaps --pcap-reset
这条命令会载入/home/foo/pcaps下的所有文件, 但是读取过没个pcap之后Snort会重置到之前的状态, 刷新所有buff
Printing the pcap
$ snort --pcap-dir=/home/foo/pcaps --pcap-show
读取/home/foo/pcaps下的所有文件并且显示出pcap正在阅读哪一条