Snort có thể được cấu hình để chạy ở ba trạng thái:
+ Sniffer Mode: Là chế độ bắt gói tin và chỉ hiển thị header của các gói TCP/IP ra màn hình. Cấu trúc lệnh như sau:
snort -vd: Lệnh này vừa hiển thị các header vừa cho thấy các gói dữ liệu.
snort -vde: Tương tự như trên nhưng trình bày rõ ràng hơn. Thể hiện cả header của lớp Datalink.
+ Packet Logger Mode: Trong trường hợp muốn ghi nhận lại các gói đã bắt được và nơi lưu trữ để tiện cho việc theo dõi về sau thì chế độ packet logger sẽ hỗ trợ tốt cho quản trị mạng. Chế độ này chỉ định nơi lưu trữ và khi sử dụng cú pháp sau, snort sẽ tự động lưu lại thông tin vào thư mục đó:
snort -vde -l /usr/local/log/snort
Log được lưu ở dạng nhị phân, làm tăng đốc độ khả năng bắt gói tin của Snort. Hầu hết các hệ thống có thể bắt gói và ghi thành file log ở tốc độ 100Mbps mà không xảy ra vấn đề gì.
Để ghi nhận file log ở chế độ nhị phân sử dụng cờ -b snort -b –l /usr/local/log/snort/temp.log
Khi đã bắt được gói, chúng ta có thể đọc lại file vừa tạo với cờ -r và phần hiển thị giống như ở mode sniffer.
snort -r /usr/local/log/snort/temp.log
+ NIDS Mode: Snort phát hiện xâm nhập chủ yếu dựa vào một bộ luật mà người quản trị mạng định nghĩa trong file snort.cfg. Hầu hết các hành vi xâm nhập đều có một vài dấu hiệu. Thông tin về các dấu hiệu này được sử dụng để tạo ra các luật của Snort. Các dấu hiệu có thể tồn tại trong header của các gói tin. Các luật của Snort có thể kiểm tra nhiều phần của gói tin để phát hiện ra các dấu hiệu này.
Để mở chế độ này, sử dụng cú pháp:
snort -dve -l /usr/local/log -h 192.168.0. 0/24 -c snort.cfg
Nếu admin sử dụng Snort với chế độ này trong thời gian lâu thì nên loại bỏ -v, -e ra khỏi câu lệnh. Vì quá trình ghi dữ liệu ra màn hình sẽ làm chậm tốc độ hoạt động của hệ thống, đôi khi gây mất gói tin trong khi Snort đang ghi nhận. Việc lưu lại các header của lớp Datalink cũng không cần thiết, nên có thể loại bỏ ra khỏi dòng lệnh.
Lệnh cấu hình cho Snort chạy ở hình thái cơ bản của chế độ NIDS. snort -d -l /usr/local/log -h 192.168.0.0/24 -c snort.cfg