「Snort」の主な機能

プリプロセッサ機能

Snortの機能を拡張できる「プリプロセッサ」という仕組みが用意されています。

Snortにモジュラープラグインを簡単にドロップできるようになっています。

このメカニズムを使用して、パケットをアウトオブバンド方式で変更または分析できます。

→Snort　→SNORT Users Manual　→2.2 Preprocessors

■処理順番

処理の順番は次のとおりです。

1．パケットデコード
2．プリプロセッサ実行
3．Snort侵入検知エンジンの実行

■事前処理例

プリプロセッサにより、次のような事前処理を行えます。

・Telnetの制御文字を正規化
・ポートスキャン検出
・TCPストリーム再構築とステートフル解析　など

統計情報出力機能

Snortは各種統計情報を出力できます。

→Snort　→SNORT Users Manual　→1.7 Basic Output

■タイミング統計

基本的なタイミング統計情報を提供します。

・合計秒数
・パケット数
・パケット処理率　など

■パケット入出力合計

DAQから取得した基本的な「パケット取得」と「注入ペグカウント」が出力されます。

■プロトコル統計

Snortによってデコードされたすべてのプロトコルのトラフィックが出力されます。

■Snortメモリ統計

メモリ使用量の要約を出力します。

・マッピングされた領域内のバイト
・総割り当て容量
・総空き容量
・解放可能な最上位ブロック　など

■アクション数(判定数)

Snortが分析したパケットに対してどのようなアクションを実行したのかについて出力します。

参考元サイト

• snort.org
• GitHub　→snort3/snort3
• Wikipedia　→Snort (software)

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。