1.6 Reading pcap files

---

Snort 不仅可以监听interface, 还可以读取和分析已经捕获的数据包.

1.6.1 Command line arguments

---

下面的命令都可以组合使用 :

1.6.2 Examples

---

Read a single pcap

$ snort -r foo.pcap

$ snort --pcap-single=foo.pcap

Read pcaps from a file

$ cat foo.txt

foo1.pcap

foo2.pcap

/home/foo/pcaps

$ snort --pcap-file=foo.txt

这样将会读取在 /home/foo/pcaps 下的foo1.pcap foo2.pcap 注意Snort不会检查在文件夹下是否存在这两个文件.

Read pcaps from a command line list

$ snort --pcap-list="foo1.pcap foo2.pcap foo3.pcap"

读取3个文件

Read pcaps under a directory

$ snort --pcap-dir="/home/foo/pcaps"

读取所有在 /home/foo/pcaps 的文件

Using filters

$ cat foo.txt

foo1.pcap

foo2.pcap

/home/foo/pcaps

$ snort --pcap-filter="*.pcap" --pcap-file=foo.txt

$ snort --pcap-filter="*.pcap" --pcap-dir=/home/foo/pcaps

设置只读取 *.pcap

$ snort --pcap-filter="*.pcap --pcap-file=foo.txt \

> --pcap-filter="*.cap" --pcap-dir=/home/foo/pcaps

上面的两条命令工作过程 : 首先根据foo.txt 内容筛选出 *.pcap 然后取消此规则, 根据第二条规则筛选出对应文件夹下的 *.cap

$ snort --pcap-filter="*.pcap --pcap-file=foo.txt \

> --pcap-no-filter --pcap-dir=/home/foo/pcaps

先选出foot.txt中的*.pcap 然后将/home/foo/pcaps下的文件都载入

$ snort --pcap-filter="*.pcap --pcap-file=foo.txt \

> --pcap-no-filter --pcap-dir=/home/foo/pcaps \

> --pcap-filter="*.cap" --pcap-dir=/home/foo/pcaps2

先选出foot.txt中的 *.pcap 然后将/home/foo/pcaps下的文件都载入, 再筛选出/home/foo/pcaps2下的 *.cap

Resetting state

$ snort --pcap-dir=/home/foo/pcaps --pcap-reset

这条命令会载入/home/foo/pcaps下的所有文件, 但是读取过没个pcap之后Snort会重置到之前的状态, 刷新所有buff

Printing the pcap

$ snort --pcap-dir=/home/foo/pcaps --pcap-show

读取/home/foo/pcaps下的所有文件并且显示出pcap正在阅读哪一条