Snort 使用手册，第 2 部分: 配置

核心提示： IP 地址实践经验通常，以 1.1 结尾的 IP 通常一般为路由器或无线网关，Snort 使用手册，第 2 部分: 配置(4)，在具有多个路由器的位置中，经常会看到从 1.1 到 1.10 等地址，如果开始就加入一些奇怪的缩写词，那么您很可能再没有兴趣阅读本文，但是低端数字通常表示通向 Inte

IP 地址实践经验

通常，以 1.1 结尾的 IP 通常一般为路由器或无线网关。在具有多个路由器的位置中，经常会看到从 1.1 到 1.10 等地址，但是低端数字通常表示通向 Internet 或其他网络的路由器和网关。而诸如 100 或 210 等高端数字表示网络中的单个设备。当然，智能管理可以识别这些地址并进行修改，这样恶意攻击者就不会轻松地推测出这些地址，但是可以监视某个包，并从其 IP 地址中获得有关包的发送源和发送目的地的信息。

在利用这些信息之前，需要了解您的机器的 IP 地址。可以使用 Windows® 命令 ipconfig，或者在 Linux®、UNIX®，或 Mac OS X 的终端上，使用 ifconfig。在清单 3 的示例包中，192.168.1.104 正是运行 Snort 的机器的 IP 地址，而 192.168.1.1 则是该机器的网络通往外部网络的路由器的地址。

在这个例子中，这个包来自一个计算机（运行 Snort，IP 地址为 192.168.1.104），并将传输到路由器（192.168.1.1）。随后，将获得一些额外的信息，诸如长度、ID 和一些奇怪的代码，例如 TOS、TTL 和 UDP。

是否适合使用 Snort？

现在看来，详细分析包的过程似乎有些繁琐。如果您是习惯使用 CSS 样式和 div 的 Web 设计师，或者是更加关心类的衔接、接口或某个抽象类是否有意义的开发人员，那么包分析是一个非常枯燥乏味的过程。如果开始就加入一些奇怪的缩写词，那么您很可能再没有兴趣阅读本文，而是查找一些有关 CSS 文本替换或如何使用 C# 实现 Chain of Responsibility 设计模式等内容的资料。