SNORT ist ein netzwerkbasiertes Intrusion Detection System, das in der Programmiersprache C geschrieben ist. Es wurde 1998 von Martin Roesch entwickelt. Jetzt wird es von Cisco entwickelt. Es ist eine kostenlose Open-Source-Software. Es kann auch als Paketschnüffler verwendet werden, um das System in Echtzeit zu überwachen. Der Netzwerkadministrator kann damit alle eingehenden Pakete überwachen und diejenigen finden, die für das System gefährlich sind. Es basiert auf dem Tool zum Erfassen von Bibliothekspaketen. Die Regeln sind ziemlich einfach zu erstellen und zu implementieren und können in jeder Art von Betriebssystem und jeder Art von Netzwerkumgebung bereitgestellt werden. Der Hauptgrund für die Popularität dieses IDS gegenüber anderen ist, dass es sich um eine kostenlos zu verwendende Software und auch um Open Source handelt, wodurch jeder Benutzer sie so verwenden kann, wie er möchte.

Merkmale:

  • Verkehrsüberwachung in Echtzeit
  • Paketprotokollierung
  • Analyse des Protokolls
  • Inhaltsabgleich
  • Betriebssystem-Fingerprinting
  • Kann in jeder Netzwerkumgebung installiert werden.
  • Erstellt Protokolle
  • Offene Quelle
  • Regeln sind einfach umzusetzen

Installationsschritte:

Unter Linux:

  • Schritt-1: wget https://www.snort.org/downloads/snort/snort-2.9.15.tar.gz
  • Schritt-2: tar xvzf snort-2.9.15.tar.gz
  • Schritt-3: cd snort-2.9.15
  • Schritt-4: ./configure –enable-sourcefire && make && sudo make install

Unter Windows:

  • Schritt-1: Laden Sie das SNORT-Installationsprogramm von https://www.snort.org/downloads/snort/Snort_2_9_15_Installer.exe herunter
  • Schritt-1: Führen Sie die Snort_2_9_15_Installer.exe aus

Grundlegende Verwendungen:

  1. Sniffer-Modus –
    Um den TCP/IP-Header zu drucken, verwenden Sie den Befehl ./snort -v.
    Um die IP-Adresse zusammen mit dem Header zu drucken, verwenden Sie den Befehl ./snort -vd
  2. Paketprotokollierung –
    Um Pakete auf der Festplatte zu speichern, müssen Sie den Pfad angeben, wo Sie die Protokolle speichern möchten. Für diesen Befehl ist ./snort -dev -l ./SnortLogs .
  3. Netzwerkangriffserkennungsmodus aktivieren –
    Um diesen Modus zu starten, verwenden Sie diesen Befehl ./snort -dev -l ./SnortLogs -h 192.127.1.0/24 -c snort.conf