Hình 2.8 Mô hình Snort
Snort đƣợc phát triển năm 1998 bởi Sourcefire và CTO Martin Roesch, là 1 phần mềm miễn phí mã nguồn mở có khả năng phát hiện và phòng chống xâm nhập trái phép vào hệ thống mạng có khả năng phân tích thời gian thực lƣu lƣợng mạng, và ghi log gói tin trên nền mạng IP. Ban đầu đƣợc gọi công nghệ phát hiện và phòng chống xâm nhập hạng nhẹ, Snort đã dần phát triển và trở thành tiêu chuẩn trong việc phát hiện và phòng chống xâm nhập. Với hơn 3,7 triệu lƣợt tải về và hơn 250 ngàn ngƣời dùng đăng ký, Snort trở thành công nghệ phát hiện và phòng chống xâm nhập đƣợc sử dụng rộng rãi nhất hiện nay.
Snort thực hiện việc tìm kiếm và phân tích nội dung các giao thức của các traffic lƣu thông trên mạng, từ đó có thể phát hiện ra các kiểu thăm dò và tấn công nhƣ buffer overflow, stealth ports scanning,….Các thông tin thu thập sẽ đƣợc ghi (log) lại và cảnh báo đến console của ngƣời quản trị
trong thời gian thực.
Snort có thể thực hiện phân tích giao thức và tìm kiếm nội dung, từ đó có thể phát hiện rất nhiều kiểu thăm dò và tấn công nhƣ buffer-overflow, stealth ports scanning,vv... Để có thể làm đƣợc điều này, Snort dùng 1 loại ngôn ngữ mô tả các quy tắc giao thông mạng mà nó sẽ thu thập hoặc bỏ qua, cũng nhƣ sử dụng cơ chế phát hiện xâm nhập theo kiến trúc modular plug-ins. Nó cũng có khả năng cảnh báo tức thời, kết hợp với các cơ chế cảnh báo syslog, tập tin ngƣời dùng chỉ định, Unix socket hoặc Winpopup message.
Snort có thể sử dụng với một số cơ chế:
o Sniffer mode: là chế độ cho phép bạn có thể theo dõi và đọc các luồng dữ liệu ra vào hệ thống mạng đƣợc hiển thị trên màn hình điều khiển.
o Packet Logger mode: cho phép ghi các logs dữ liệu vào đĩa lƣu trữ. o Network Intrusion Detection System (NIDS) mode: là cơ chế đƣợc cấu hình phức tạp nhất, cho phép Snort phân tích các luồng dữ liệu, trong đó kiểm soát cho (hay không) cho phép các dữ liệu ra vào hệ thống mạng dựa vào các bộ qui tắc đƣợc định nghĩa bởi ngƣời quản trị, đồng thời thực hiện một vài hành động dựa vào những gì mà Snort nhìn thấy.
o Inline mode: các gói tin thu từ iptables thay vì libpcap, sau đó iptables thực hiện hành động hủy hay cho phép các gói tin đi qua dựa trên những qui tắc đƣợc qui định và sử dụng bởi Snort.