Snortは自由でオープンソースのネットワーク侵入検知システム(IDS)、侵入防止システム(IPS)である。 ソースファイアの創業者であるMartin Roeschによって1998年に開発された。 ソースファイアはシスコシステムズが2013年に買収したため、現在は同社が開発を進めている。

2009年、SnortはInfoWorldの「オープンソースの殿堂」に選ばれた。

使用法

Snortのネットワークベース侵入検知システム (IDS/IPS) はInternet Protocolの通信において、リアルタイムでのトラフィック解析とパケットのロギングをすることができる。プロトコルの解析、パケットのデータのマッチングなどを行う。

また、OSフィンガープリンティング、セマンティックURL攻撃、バッファオーバーフロー、server message blockの探索 、ステルスポートスキャンなどの攻撃や探索を検知するために使うこともできる。

Snortは以下の3種類のメインモードが設定できる。

  1. Snifferモード
  2. Packet Loggerモード
  3. ネットワーク侵入検知モード

Snifferモード

ネットワーク上のパケットを読み取り、コンソールに表示する。

Packet Loggerモード

このモードでは、パケットのログをディスク上に保存する。

ネットワーク侵入検知(NIDS)モード

侵入検知モードでは、ネットワークのトラッフィックを監視し、ユーザーの設定したルールに照らし合わせて解析する。その結果に従って、ある特定の操作を行う。

サードパーティーのツール

Snortのインターフェースとして、システム管理やパフォーマンス・ログの解析を行うツールがいくつか存在する。

  • Snorby – Ruby on Railsによって開発された GPLv3のアプリケーション
  • BASE
  • Sguil (free)

関連項目

  • Sigma(シグネチャフォーマット)
  • Suricata(ソフトウェア)
  • YARA
  • Zeek

脚注

外部リンク

  • 公式ウェブサイト
  • Snort Blog
  • Talos Intelligence

Introduction to Snort

CARA KERJA

The major differences that set Snort 3 apart from Snort 2

SNORT

Snort Download and Install Windows