Snort – sieciowy system wykrywania i zapobiegania włamaniom (IPS), dostępny na wolnej licencji. Może być również wykorzystywany jako sniffer (podobnie jak tcpdump) lub rejestrator pakietów[1].
Działanie programu Snort opiera się na wykorzystywaniu plików reguł, pozwalających w czasie rzeczywistym identyfikować pakiety sieciowe[2].
Zastosowanie
Snort oferuje szeroki zakres mechanizmów detekcji ataków oraz umożliwia samoczynną analizę ruchu i rejestrowanie pakietów przechodzących przez sieci oparte na protokołach TCP, UDP oraz ICMP[3].
Potrafi przeprowadzać analizę strumieni pakietów, wyszukiwać i dopasowywać podejrzane treści, a także wykrywać wiele ataków i anomalii, takich jak skanowania portów[4].
Reguły
Reguły w programie Snort służą do definiowania rodzaju pakietów, dla których powinna zostać podjęta określona akcja. Każda reguła składa się z nagłówka oraz opcji.
Nagłówek reguły składa się z rodzaju akcji, protokołu, adresów IP oraz numerów portów[5].