Система обнаружения сетевых атак IDS Snort

Snort является открытой Network Intrusion Detection/Prevention System (NIDS/NIPS) системой, позволяющей проводить анализ трафика в реальном времени, а также логинг пакетов в IP сетях. Он позволяет анализировать протоколы верхних уровней на предмет поиска и соответствия нужного содержимого и может использоваться для обнаружения различных атак, таких как buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts и других.
Snort использует гибкий язык написания правил, который позволяет охарактеризовать интересный трафик для сбора или анализа, а также имеет детектор атак, имеющий модульную архитектуру.

Snort можно использовать в трёх различных вариантах. В качестве:

Пакетного сниффера (packet sniffer), наподобие утилиты tcpdump;
Логгера пакетов (packet logger), для изучения сетевого трафика;
NIDS или NIPS.

Для работы IDS/IPS Snort необходим как можно более мощный сервер с большим объёмом дискового пространства для хранения базы событий.

Для развертывания Snort необходимо установить и настроить ряд программ:

Операционная система FreeBSD или MS Windows;
Snort – сам сенсор с детекторами для обнаружения атак;
Libpcap – сниффер для захвата пакетов;
СУБД MySQL – для хранения базы данных событий;
PHP – язык разработки для Web;
Apache – web-сервер;
Basic Analysis and Security Engine (BASE) – консоль управления и просмотра событий (alerts);
Oinkmaster – утилита для обновления сигнатур и некоторые другие.

Также потребуется настройка коммутатора в локальной сети для сбора интересного трафика.