Snort-inline là một nhánh phát triển của Snort do William Metcalf khởi xướng và lãnh đạo. Đến phiên bản 2.3.0 RC1 của Snort, inline-mode đã được tích hợp vào bản chính thức do snort.org phát hành. Sự kiện này đã biến Snort từ một IDS thuần túy trở thành một hệ thống có các khả năng của một IPS, mặc dù chế độ này vẫn chỉ là tùy chọn chứ không phải mặc định.
Ý tưởng chính của inline-mode là kết hợp khả năng ngăn chặn của iptables vào bên trong snort. Điều này được thực hiện bằng cách thay đổi môđun phát hiện và môđun xử lý cho phép snort tương tác với iptables. Cụ thể, việc chặn bắt các gói tin trong Snort được thực hiện thông qua Netfilter và thư viện libpcap sẽ được thay thế bằng việc sử dụng ipqueue và thư viện libipq. Hành động ngăn chặn của snort-inline sẽ được thực hiện bằng devel- mode của iptables.
Bắt đầu từ phiên bản 2.9, snort đã dùng một cơ chế mới để bắt các gói tin, đó là sử dụng thư viện Data Acquisition (DAQ) được công bố vào tháng 8 năm 2010. Trước đó, snort tích hợp chung bắt gói tin và các chức năng khác vào cùng một module, vì thế rất khó mở rộng chức năng và thay đổi cấu hình. Với thư viện DAQ mới các chức năng được tách riêng thành các module riêng biệt, sử dụng chức năng nào thì dung module tương ứng. Ta có thể nhắc đền
Nguyễn Quang Thắng - 2014ATTMMT Page 46 một vài module hay sử dụng trong DAQ gồm: pcap: thư viện mặc định dùng để nghe và bắt gói tin, afpacket: tạo kênh truyền giữa 2 cạc mạng, ipq: lọc và thay thế gói tin, nfq: lọc gói tin, ipfw: sử dụng như tường lửa, dump: bắt gói tin và kiểm tra sử hoạt động của hệ thống…Trong đó, snort_inline sử dụng afpacket để truyền và quản lí các gói tin trong mạng.
Thư viện DAQ hiện tại chỉ hoạt động trên hệ điều hành linux, snort_inline sử dụng DAQ cấu hình mạng đi qua chính nó như một kết nối trong suốt, và do đó nếu snort_inline không hoạt động thì dữ liệu không thể truyền qua được giữa các phân vùng mạng mà nó kết nối.
Hình 8. Hình ảnh minh hoạ hệ thống ngăn chặn xâm nhập sử dụng snort-inline (Snort IPS)
