Snort 옵션

USAGE: snort [-options]

Options:
-A 얼럿 모드를 fast,full,none 중의 하나로 지정합니다.
unsock 을 지정하면 UNIX 소켓을 사용하여 로깅을 한다(아직 시험적이라고 한다).

-a ARP 패킷을 프린트합니다.
-b 패킷을 tcpdump 파일로 저장합니다. 바이너리 포맷이므로 저장 속도가 빨라집니다.
-c :로 지정된 파일을 룰 파일로 사용합니다.
-C : 패킷의 사용자 데이타 부분(payload)를 문자만 프린트합니다. 헥스 형태로는 프린트하지 않습니다.

-D : snort를 데몬 모드로 돌립니다. 바로 백그라운드로 들어가고 터미널을 종료해도 계속 돌게 됩니다.

-F BPF 필터링식을 로 지정된 화일에서 읽어 옵니다.
BPF 필터링식은 tcpdump에서 원하는 패킷 만을 덤프하기 위해서 사용되는 식입니다.

-g snort의 gid를 으로 그룹으로 설정합니다.
-h 홈네트워크 변수 HOME_NET를 의 값으로 세팅합니다.
-i : 로 지정된 네트워크 인터페이스를 모니터링합니다. 값으로 eth0,eth1 등이 올 수 있습니다.

-I : 얼럿 결과물에 네트워크 인터페이스 이름을 붙인다.
-l : 로 지정된 디렉토리에 로그 데이타를 저장합니다.
-n : 개의 패킷만을 모니터링하고 프로그램을 종료합니다.
-N : 로깅 기능을 사용하지 않습니다. 얼럿만이 저장됩니다.
-o : 룰셋 테스트 순서를 Pass, Alert, Log순서로 바꾼다.
-O : IP주소를 알 수 없도록 표시한다.
-p : 무작위 모드(promiscuous mode)를 사용하지 않고 스니핑을 합니다.
스니핑하는 호스트의 MAC 주소로 오는 패킷이나 브로드캐스팅 패킷만을 모니터링합니다.
-P : 패킷의 스냅렌(snaplen)을 지정합니다. 디폴트는 1514입니다.
스냅렌은 캡쳐할 수 있는 패킷의 최대 크기입니다. 만약 스냅렌보다 큰 패킷을 캡쳐할 경우 스냅렌만큼만 캡쳐 됩니다.
-q : 아무런 메시지도 뿌리지 않습니다.
-r 로 지정된 tcpdump 파일의 패킷들에 대해서 IDS 엔진을 돌립니다.
-s 얼럿 로그 메시지를 syslog 시스템을 통해 시스템에 보냅니다.
-S 룰 파일의 var 로 지정된 변수를 재정의 할 수 있습니다. 룰파일의 변수 n의 값을 v로 지정합니다.
-t 초기화 후 디렉토리로 chroot합니다.
-u 초기화 후 snort의 uid를 의 사용자로 바꿉니다.
-v 많은 메시지를 뿌립니다.
-V 버전 정보를 표시합니다.
-X 링크 레이어의 로우 패킷 데이타를 덤프합니다.
-e 두번째 레이어의 헤더 정보를 프린트합니다.
-d 어플리케이션 레이어를 덤프합니다.
-? 도움말을 보여줍니다.