Question

我正在尝试在Windows中运行snort，但是我可以使用remote（rpcap）而不是使用-i eth0。我在vmware中使用Windows 7

这是我运行的命令 c：\ Snort \ bin＆gt; snort -cc：\ Snort \ etc \ snort.conf -lc：\ Snort \ log --daq pcap --daq-mode inline -i rpcap：// [xx.xxx.xxx.xx ]：2002 / \设备\ NPF_ {XXXXXXXX-XXXXXXXX-XXXX-XXXXXXXX}

我在ERROR上运行：pcap不支持内联

运行命令snort --daq-list;结果是可用的DAQ模块： pcap（v3）：readback live multi unpriv

请帮助，我如何连接和收集数据到我的远程机器。

非常感谢！

Answer 1

您的问题是您正在尝试以内联模式运行并阅读pcap，这没有任何意义。你会做一个或另一个。注意：

论证＆＃34; - daq pcap＆＃34;你不需要，因为pcap是默认设置，但这不会导致任何问题，只需注意。
参数＆＃34; - daq-mode inline＆＃34;应该从命令中完全删除。你正在玩一个pcap，因此设备不能在线检查流量，在这里使用它是没有任何意义的。
使用-i选项用于指定要侦听的接口。你不想在这里指定一个pcap文件。由于您要重放pcap，因此需要将此参数更改为＆＃34; -r＆＃34;。 snort这个选项的帮助：-r <tf> Read and process tcpdump file <tf>

您的命令应如下：

c:\Snort\bin>snort -c c:\Snort\etc\snort.conf -l c:\Snort\log -r rpcap://[xx.xxx.xxx.xx]:2002/\Device\NPF_{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx}

使用snort for windows，连接到远程计算机

1 个答案: