Snort là một phần mềm phát hiện xâm nhập mã nguồn mở hoạt động dựa trên các dấu hiệu cho phép giám sát, phát hiện những dấu hiện tấn công mạng. Snort được nhiều tổ chức, doanh nghiệp phát triển và biến thành sản phẩm thương mại như Sourcefire, Astaro, …
Snort chủ yếu là một IDS dựa trên luật, tuy nhiên các input plug-in cũng tồn tại để phát hiện sự bất thường trong các header của giao thức. Snort sử dụng các luật được lưu trữ trong các file text, có thể được chỉnh sửa bởi người quản trị. Các luật được nhóm thành các kiểu. Các luật thuộc về mỗi loại được lưu trong các file khác nhau. File cấu hình chính của Snort là snort.conf. Snort đọc những luật này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các luật để bắt giữ dữ liệu. Tìm ra các dấu hiệu và sử dụng chúng trong các luật là một vấn đề đòi hỏi sự tinh tế, vì chúng ta càng sử dụng nhiều luật thì năng lực xử lý càng được đòi hỏi để thu thập dữ liệu trong thực tế. Snort có một tập hợp các luật được định nghĩa trước để phát hiện các hành động
xâm nhập. Các luật trên Snort có tính mở, cho phép người quản trị mạng tạo ra các luật mới và chúng ta có thể thêm vào các luật của chính mình. Chúng ta cũng có thể xóa một vài luật đã được tạo trước để tránh việc báo động sai.
Các đặc điểm chính của Snort:
- Hỗ trợ nhiều platform: Linux, OpenBSD, FreeBSD, Solaris, Windows,…
- Có khả năng phát hiện một số lượng lớn các kiểu thăm dò, xâm nhập khác nhau như: Buffer overflow, CGI-attack, dò tìm hệ điều hành, ICMP, virus,…
- Phát hiện nhanh các xâm nhập theo thời gian thực.
- Cung cấp cho nhà quản trị các thông tin cần thiết để xử lư các sự cố khi bị xâm nhập.
- Giúp người quản trị tự đặt ra các dấu hiệu xâm nhập mới một cách dễ dàng. - Là phần mềm mã nguồn mở (Open Source) và không tốn kém chi phí đầu tư.
Hình 2-14 Mô hình IDS Snort