tags: sniffing passive_sniffing snort
Per monitorare il traffico ci sono diverse flag che permettono di far vedere dati diversi:
-
-v Verbose. Visualizza l’output TCP/IP nella console.
-
-d Visualizza i dati del pacchetto (payload).
-
-e Visualizza le intestazioni del livello di collegamento (TCP/IP/UDP/ICMP).
-
-X Visualizza i dettagli completi del pacchetto in HEX.
-
-i Questo parametro aiuta a definire un’interfaccia di rete specifica da ascoltare/annusare. Una volta che hai più interfacce, puoi scegliere un’interfaccia specifica da annusare.
Ecco alcuni esempi:
sudo snort -v -i eth0
sudo snort -d
sudo snort -de
sudo snort -X
sudo snort -dev
L’output di questo monitoraggio lo possiamo salvare in un file per poi poterlo analizzare con calma, il formato più leggibile si ottiene con questo comando:
sudo snort -dev -K ASCII -l .Oppure:
sudo snort -dev -l .
#Che però non si può aprire con un editor normale, si deve usare snort:
sudo snort -r snort.log.1638459842
#Questi sono i filtri
- sudo snort -r logname.log -X
- sudo snort -r logname.log icmp
- sudo snort -r logname.log tcp
- sudo snort -r logname.log 'udp and port 53'