「Snort」の動作モード

Snortは3つのモードで動作するように設定できます。

①スニファモード

Snortの「スニファモード」では、ネットワークパケットを読み取り、それらを連続したストリームとしてコンソールに表示します。

②パケットロガーモード

Snortの「パケットロガーモード」では、パケットログをディスクに記録します。

■バイナリ記録モード

概要

バイナリモードに設定すると、tcpdump形式のパケットをloggingディレクトリ内の単一のバイナリファイルとして記録します。

パケットログをよりコンパクトな形式で記録できます。

読み出し

パケットがバイナリファイルに記録されたら、tcpdumpバイナリ形式をサポートする任意のスニファ(tcpdumpやEtherealなど)を使用してパケットをファイルから読み出せます。

tcpdump形式のファイルからのパケットは、Snortを介してどの実行モードでも処理できます。

■パケットログの利用

パケットログファイル内のデータは「Snort侵入検知モード」や「コマンドラインから利用可能なBPF(Berkeley Packet Filter)インターフェース」を使用してさまざまな用途で利用できます。

・ログファイルからのICMPパケットのみを表示
・ネットワークトラフィックのデバッグ　など

③ネットワーク侵入検知システム(NIDS)モード

「ネットワーク侵入検知システム(NIDS)モード」では、ネットワークトラフィックの検出と分析を実行します。

Snortはネットワークトラフィックを監視し、ユーザーが定義したルールセットに基づいて分析します。

該当するトラフィックを発見した場合、識別された内容に基づいて特定のアクションを実行します。不正パケットを自動破棄することで不正アクセスを防止できます。

■アラートモード

用途に応じて以下の7つのアラートモードを設定できます。

①full
②fast
③socket
④syslog
⑤console
⑥cmg
⑦none