0

Windows で Snort を実行しようとしていますが、-i eth0 を使用する代わりに、リモート (rpcap) を使用できますか。VMwareでWindows 7を使用しています

これが私が実行するコマンドです c:\Snort\bin>snort -cc:\Snort\etc\snort.conf -lc:\Snort\log --daq pcap --daq-mode inline -i rpcap://[xx .xxx.xxx.xx]:2002/\Device\NPF_{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx}

エラーで実行します:pcap はインラインをサポートしていません

コマンド snort --daq-list を実行します。結果は Available DAQ modules: pcap(v3): readback live multi unpriv です。

リモート マシンに接続してデータを収集する方法を教えてください。

どうもありがとう!

4

1 に答える 1

0

問題は、インライン モードで操作して pcap を読み取ろうとしていることにありますが、これは意味がありません。あなたはどちらかをするでしょう。ノート:

  • pcap がデフォルトであるため、引数「--daq pcap」は必要ありませんが、これによって問題が発生することはありません。
  • 引数「--daq-mode inline」は、コマンドから完全に削除する必要があります。pcap を実行しているため、デバイスはトラフィックをインラインで検査していません。ここでこれを使用しても意味がありません。
  • -i オプションを使用すると、リッスンするインターフェイスを指定できます。ここで pcap ファイルを指定する必要はありません。pcap を再生しているので、この引数を「-r」に変更する必要があります。このオプションの Snort ヘルプ:-r <tf> Read and process tcpdump file <tf>

コマンドは次のようになります。

c:\Snort\bin>snort -c c:\Snort\etc\snort.conf -l c:\Snort\log -r rpcap://[xx.xxx.xxx.xx]:2002/\Device\NPF_{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx}
于 2015-02-18T02:50:51.153 に答える