0

我正在尝试在 Windows 中运行 snort,但我可以使用远程(rpcap)而不是使用 -i eth0。我在 vmware 中使用 Windows 7

这是我运行的命令 c:\Snort\bin>snort -cc:\Snort\etc\snort.conf -lc:\Snort\log --daq pcap --daq-mode inline -i rpcap://[xx .xxx.xxx.xx]:2002/\Device\NPF_{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx}

我在错误上运行:pcap 不支持内联

运行命令 snort --daq-list; 结果是可用的 DAQ 模块:pcap(v3): readback live multi unpriv

请帮忙,我如何连接并收集数据到我的远程机器。

非常感谢!

4

1 回答 1

0

您的问题是您试图以内联模式操作并读取 pcap,这没有意义。你会做一个或另一个。笔记:

  • 您不需要参数“--daq pcap”,因为 pcap 是默认值,但这不会导致任何问题,只是一个注释。
  • 应从命令中完全删除参数“--daq-mode inline”。您正在播放 pcap,因此设备不会在线检查流量,在这里使用它没有任何意义。
  • 使用 -i 选项用于指定要监听的接口。您不想在此处指定 pcap 文件。由于您正在重放 pcap,因此您需要将此参数更改为“-r”。此选项的 snort 帮助:-r <tf> Read and process tcpdump file <tf>

您的命令应如下所示:

c:\Snort\bin>snort -c c:\Snort\etc\snort.conf -l c:\Snort\log -r rpcap://[xx.xxx.xxx.xx]:2002/\Device\NPF_{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx}
于 2015-02-18T02:50:51.153 回答