snort用二进制收集数据包的一个问题？

lenoning

请问用snort来收集网络数据包的时候，如果使用的是二进制方式收集，那么里面收集的内容的格式大致是什么啊？\r\n如果不使用二进制收集，那么收集到的内容里面就是网络数据保的内容；比如：\r\n\r\n11/07-14:44:43.089479 172.16.47.150:138 ->; 172.16.47.191:138\r\nUDP TTL:64 TOS:0x0 ID:9725 IpLen:20 DgmLen:229\r\nLen: 201\r\n=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+\r\n\r\n11/07-16:13:47.786839 172.16.47.150:138 ->; 172.16.47.191:138\r\nUDP TTL:64 TOS:0x0 ID:15846 IpLen:20 DgmLen:234\r\nLen: 206\r\n=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+\r\n\r\n可是用二进制来收集的时候，结果用记事本打开后看到的里面却存在这样的内容：\r\n?悁 E @? h挰/x?/?鼼
>;碢

ayazero

二进制的数据包应该能被其他sniffer如tcpdump,ethereal读出来

lenoning

可以告诉我明确点么？谢谢了\r\n我看了tcpdump,但是不知道怎么用它来转化这些二进制为ASCII方式，也不知道怎么查看，

ayazero

tcpdump -r filename ;man tcpdump for more\r\n\r\nascii payload: asctcpdump.pl or ethereal

lenoning

3x 已经搞定了\r\n我就是查了，可是不知道怎么使用：）\r\n非常感谢你的回答：）\r\n对了，这个转化出来的结果，怎么没有日期了\r\n09:59:28.444839 IP 172.16.47.120.ftp >; 172.16.47.143.2765: P 51:116(65) ack 59 win 65187 <nop,nop,timestamp 44800 631015>;\r\n09:59:28.445264 IP 172.16.47.143.3883 >; 172.16.47.120.ftp-data: P 1:281(280) ack 1 win 65535

lenoning

对了。你的这个；\r\nascii payload: asctcpdump.pl or ethereal\r\n\r\n是什么意思啊？\r\n难道还要编写一个asctcpdump.pl 脚本么？

lenoning

还想请教：\r\n如果我就是简单的\r\ntcpdump -r snortlog >;/var/log/ana\r\n那么里面保存的内容怎么大部分都是只有数据包的头部的少部分信息啊，\r\n我以前收集的时候都是有很多信息的，比如：\r\n11/06-17:10:22.499091 0:10C:FD:1C:EC ->; FF:FF:FF:FF:FF:FF type:0x800 len:0x5C\r\n172.16.47.149:137 ->; 172.16.47.255:137 UDP TTL:64 TOS:0x0 ID:51110 IpLen:20 DgmLen:78\r\nLen: 50\r\n8F 32 01 10 00 01 00 00 00 00 00 00 20 46 48 45  .2.......... FHE\r\n50 46 43 45 4C 45 48 46 43 45 50 46 46 46 41 43  PFCELEHFCEPFFFAC\r\n41 43 41 43 41 43 41 43 41 43 41 42 4D 00 00 20  ACACACACACABM.. \r\n00 01                                            ..\r\n\r\n=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+\r\n\r\n11/06-17:10:23.249090 0:10C:FD:1C:EC ->; FF:FF:FF:FF:FF:FF type:0x800 len:0x5C\r\n172.16.47.149:137 ->; 172.16.47.255:137 UDP TTL:64 TOS:0x0 ID:51111 IpLen:20 DgmLen:78\r\nLen: 50\r\n8F 32 01 10 00 01 00 00 00 00 00 00 20 46 48 45  .2.......... FHE\r\n50 46 43 45 4C 45 48 46 43 45 50 46 46 46 41 43  PFCELEHFCEPFFFAC\r\n41 43 41 43 41 43 41 43 41 43 41 42 4D 00 00 20  ACACACACACABM.. \r\n00 01                                            ..\r\n\r\n=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+\r\n\r\n可是使用了这个tcpdump后，就少了，数据保内容部分和以及一部分数据保头部内容的一部分了，而且没有日期了，

lenoning

可以直接用snort来把这个二进制转化为ASCII了，就是－r\r\n可是转化后的文件却远远大于原来的二进制文件，基本上是原来的3－4倍多

archangle

我用snort 的 -b参数保存的数据包信息5.7m, 用tcpdump -r file>;t ，结果t文件的大小只有570k.

lenoning

tcpdump转化后，可是里面明显的少了很多信息啊。\r\n所以tcpdump里面的占的空间不大\r\n我用snort -r读取一个用snort -b收集的二进制文件（原来大小是7。5M），读出来之后大小29M，差不多就是4倍多\r\n\r\n请问：用snort -r转化后，应该就是原来的二进制的文件转化后的吧，里面不会有多余的么？