SNORT é um sistema de detecção de intrusão baseado em rede, escrito em linguagem de programação C. Foi desenvolvido em 1998 por Martin Roesch. Agora é desenvolvido pela Cisco. É um software de código aberto gratuito. Também pode ser usado como um farejador de pacotes para monitorar o sistema em tempo real. O administrador da rede pode usá-lo para observar todos os pacotes recebidos e encontrar aqueles que são perigosos para o sistema. É baseado na ferramenta de captura de pacotes da biblioteca. As regras são bastante fáceis de criar e implementar e podem ser implantadas em qualquer tipo de sistema operacional e qualquer tipo de ambiente de rede. O principal motivo da popularidade deste IDS em relação a outros é que ele é um software de uso livre e também de código aberto, por causa do qual qualquer usuário pode utilizá-lo da maneira que quiser.

Recursos:

• Monitor de tráfego em tempo real
• Log de pacotes
• Análise de protocolo
• Correspondência de conteúdo
• Impressão digital do sistema operacional
• Pode ser instalado em qualquer ambiente de rede.
• Cria logs
• Open Sourse
• As regras são fáceis de implementar

Etapas de instalação:

No Linux:

• Etapa 1: wget https://www.snort.org/downloads/snort/snort-2.9.15.tar.gz
• Etapa 2: tar xvzf snort-2.9.15.tar.gz
• Etapa 3: cd snort-2.9.15
• Etapa 4: ./configure –enable-sourcefire && make && sudo make install

No Windows:

• Etapa 1: Baixe o instalador SNORT em https://www.snort.org/downloads/snort/Snort_2_9_15_Installer.exe
• Etapa 1: execute o Snort_2_9_15_Installer.exe

Usos básicos:

1. Modo Sniffer -
   Para imprimir o cabeçalho TCP / IP, use o comando ./snort -v
   Para imprimir o endereço IP junto com o cabeçalho, use o comando ./snort -vd
2. Log de pacotes -
   para armazenar pacotes em disco, você precisa fornecer o caminho onde deseja armazenar os logs. Para este comando é ./snort -dev -l ./SnortLogs .
3. Ative o modo de detecção de intrusão de rede -
   para iniciar este modo, use este comando ./snort -dev -l ./SnortLogs -h 192.127.1.0/24 -c snort.conf