-1.5절 번역
스노트 패킷 얻기
스노트 2.9에서는 패킷 입출력을 위해 DAQ -Data Acquistition library- 를 사용한다. DAQ 추상적 레이어(다양한 하드웨어/소프트웨어 인터페이스 활용을 위한)와 libpcap 함수의 호출을 대체한다. DAQ 의 타입과 모드를 선택하는 것이 가능하다.
1. configuration
static module 을 disable 할 수 없거나, daq 타입을 바꿀 수 없다면, 스노트로 file readback 하거나 sniffing 밖에 못할거다. 그러나 스노트가 invode 될 때 DAQ 를 선택하거나 설정할 수 있다.
./snort \
[--daq <type>] \
[--daq-mode <mode>] \
[--daq-dir <dir>] \
[--daq-var <var>]
config daq: <type>
config daq_dir: <dir>
config daq_var: <var>
config daq_mode: <mode>
<type> ::= pcap | afpacket | dump | nfq | ipq | ipfw
<mode> ::= read-file | passive | inline
<var> ::= arbitrary <name>=<value> passed to DAQ
<dir> ::= path where to look for DAQ module so’s
DAQ 의 유형, 변수, 디렉토리, 타입은 명령줄 혹은 config 에서 바꿀 수 있다. 아규먼트 / 컨피그를 필요한만큼 반복해서 지정할 수 있다. DAQ 타입은 컨피그 config 파일이나 커맨드라인을 통해 한번만 지정할 수 있고, 만약에 양쪽에 다 지정되어 있으면 명령줄의 내용으로 정의 된다.
모드를 명시하지 않으면 인라인으로 -Q 옵션이 강제 지정되며 만약
'Research > Web' 카테고리의 다른 글
| IDS 우회 참고자료 (0) | 2014.04.08 |
|---|---|
| python socket관련 - socket, urllib2, httplib (0) | 2014.02.13 |
| Suricata 소스 특징정리 (0) | 2014.01.13 |
| [ Network ] IPv6.h // ndp.h (0) | 2013.09.10 |
| htonl, htohl for 64bit (0) | 2013.08.26 |