Snort

Snort – sieciowy system wykrywania i zapobiegania włamaniom (IPS), dostępny na wolnej licencji. Może być również wykorzystywany jako sniffer (podobnie jak tcpdump) lub rejestrator pakietów^[1].

Działanie programu Snort opiera się na wykorzystywaniu plików reguł, pozwalających w czasie rzeczywistym identyfikować pakiety sieciowe^[2].

Zastosowanie

Snort oferuje szeroki zakres mechanizmów detekcji ataków oraz umożliwia samoczynną analizę ruchu i rejestrowanie pakietów przechodzących przez sieci oparte na protokołach TCP, UDP oraz ICMP^[3].

Potrafi przeprowadzać analizę strumieni pakietów, wyszukiwać i dopasowywać podejrzane treści, a także wykrywać wiele ataków i anomalii, takich jak skanowania portów^[4].

Reguły

Reguły w programie Snort służą do definiowania rodzaju pakietów, dla których powinna zostać podjęta określona akcja. Każda reguła składa się z nagłówka oraz opcji.

Nagłówek reguły składa się z rodzaju akcji, protokołu, adresów IP oraz numerów portów^[5].