CHƯƠNG IV. TÌM HIỂU VỀ SNORT
Detection Engine
Đề tài: Xây dựng hệ thống Snort IDS-IPS trên CentOS GVHD: PGS.TS Trần Công Hùng
CHƯƠNG IV. TÌM HIỂU VỀ SNORT Giới thiệu về hệ thống Snort.
Snort là một phần mềm IDS mã nguồn mở, được phát triển từ năm 1998 bởi Martin Roesch, người sáng lập của Sourcefire. Với tốc độ ấn tượng, sức mạnh cũng như hiệu năng mà Snort đã đạt được đà phát triển nhanh chóng. Bên cạnh đó, kiến trúc của Snort được thiết kế ở dạng module nên người dùng có thể tăng cường tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm các module mới. Tính đến nay, với hơn 4 triệu lượt tải về và gần 400 ngàn người dùng đăng ký, Snort đã trở thành công nghệ phát hiện và phòng chống xâm nhập được sử dụng rộng rãi nhất trên thế giới.
Các đặc điểm của Snort:
- Có thể chạy trên nhiều platform như: Linux, Windows, OpenBSD, FreeBSD, NetBSD, Solaris ...
- Chạy được trên nhiều giao thức mạng: Ethernet, 802.11, Token, Ring, FDDI ...
- Có khả năng phát hiện ra nhiều kiểu thăm dò và tấn công: buffer, overflow, DoS, portscan, ICMP ...
- Phát hiện nhanh các nguy cơ theo thời gian thực.
- Cung cấp cho nhà quản trị các thông tin cần thiết để có thể kịp thời xử lý các sự cố.
Snort có thể hoạt động ở một số cơ chế:
- Sniffer mode: là chế độ cho phép bạn có thể theo dõi và đọc các luồng dữ liệu
ra vào hệ thống mạng được hiển thị trên màn hình điều khiển.