Snort

Snort – sieciowy system wykrywania i zapobiegania włamaniom (IPS), dostępny na wolnej licencji. Może być również wykorzystywany jako sniffer (podobnie jak tcpdump) lub rejestrator pakietów^[1].

Działanie programu Snort opiera się na wykorzystywaniu plików reguł, pozwalających w czasie rzeczywistym identyfikować pakiety sieciowe^[2].

Zastosowanie

Snort oferuje szeroki zakres mechanizmów detekcji ataków oraz umożliwia samoczynną analizę ruchu i rejestrowanie pakietów przechodzących przez sieci oparte na protokołach TCP, UDP oraz ICMP^[3].

Potrafi przeprowadzać analizę strumieni pakietów, wyszukiwać i dopasowywać podejrzane treści, a także wykrywać wiele ataków i anomalii, takich jak skanowania portów^[4].

Reguły

Reguły w programie Snort służą do definiowania rodzaju pakietów, dla których powinna zostać podjęta określona akcja. Każda reguła składa się z nagłówka oraz opcji.

Nagłówek reguły składa się z rodzaju akcji, protokołu, adresów IP oraz numerów portów^[5].

Zobacz też

porty protokołu

Przypisy

Linki zewnętrzne

[zastosowania-1] What can I do with Snort?.

[reguły-2] Understanding and Configuring Snort Rules.

[protokoły-3] Writing Snort Rules.

[skanowania-4] How to Detect NMAP Scan Using Snort.

[nagłówek-5] Writing Snort Rules.

[1]

[2]

[3]

[4]

[5]