Snort قدرتمند ترین NIDS ، NIPS نرم افزاری متن باز و رایگان که دارای توانایی انجام سریع تجزیه و تحلیل ترافیک های شبکه در جهت تشخیص و جلوگیری از نفوذ این ترافیک ها می باشد.Snort در سال 2009 به عنوان بهترین برنامه متن باز در زمان خود شناخته شد.Snort توسط توسعه دهندگان Sourcefire که متعلق به کمپانی معروف سیسکو هستند توسعه داده می شوند.Snort در چهار Mode میتواند مورد استفاده قرار گیرد که عبارتند از :
- Sniffer Mode : در این حالت Snort به Sniff نمودن ترافیک های شبکه می پردازد.در این حالت نیاز هست که کارت شبکه سیستمی که Snort بر روی آن نصب هست در حالت Promiscuous باشد تا بتواند ترافیک های شبکه را دریافت و آنها را بررسی و تجزیه و تحلیل نماید.
- Packet Logger Mode : در این حالت Snort از ترافیک هایی که Sniff شده اند گزارشی ( Logی ) از آنها ایجاد می نماید.
- IDS Mode : در این حالت Snort در حالت IDS قرار گرفته و میتواند ترافیک هایی که Sniff شده اند را بررسی و تجزیه و تحلیل نماید و در صورت وجود حملات ، نفوذ و یا رفتارهای غیرعادی آنها را شناسایی و گزارشی از آنها ایجاد نماید.
- Inline Mode : در این حالت Snort در حالت IPS قرار گرفته و تلاش می نماید جلوی حملات ، نفوذ و یا رفتارهای غیر عادی شناسایی شده را بگیرد.
پکیج های مهم برای نصب Snort عبارتند از :
- Pcre : مجموعه از Library هایی است که برای پیاده سازی الگوهای با قاعده برای Rule های Snort از آنها استفاده می شود.
- Libpcap : توسط این پکیج میتوان Packetهای شبکه را Capture نمود.
- Tcpdump : یک ابزار Sniffer می باشد که برای Sniff نمودن ترافیک های شبکه از آن استفاده می شود.
- Libdnet : یک ابزار ساده برای تجزیه و تحلیل و دستکاری Packetهای شبکه می باشد.
- DAQ : مجموعه از API Library که به جمع آوری اطلاعات برای Snort می پردازد. DAQ از پکیج Libdnet برای جمع آوری اطلاعات استفاده می نماید.
