Snortは3つのモードで動作するように設定できます。
Snortの「スニファモード」では、ネットワークパケットを読み取り、それらを連続したストリームとしてコンソールに表示します。
Snortの「パケットロガーモード」では、パケットログをディスクに記録します。
バイナリモードに設定すると、tcpdump形式のパケットをloggingディレクトリ内の単一のバイナリファイルとして記録します。
パケットログをよりコンパクトな形式で記録できます。
パケットがバイナリファイルに記録されたら、tcpdumpバイナリ形式をサポートする任意のスニファ(tcpdumpやEtherealなど)を使用してパケットをファイルから読み出せます。
tcpdump形式のファイルからのパケットは、Snortを介してどの実行モードでも処理できます。
パケットログファイル内のデータは「Snort侵入検知モード」や「コマンドラインから利用可能なBPF(Berkeley Packet Filter)インターフェース」を使用してさまざまな用途で利用できます。
・ログファイルからのICMPパケットのみを表示
・ネットワークトラフィックのデバッグ など
「ネットワーク侵入検知システム(NIDS)モード」では、ネットワークトラフィックの検出と分析を実行します。
Snortはネットワークトラフィックを監視し、ユーザーが定義したルールセットに基づいて分析します。
該当するトラフィックを発見した場合、識別された内容に基づいて特定のアクションを実行します。不正パケットを自動破棄することで不正アクセスを防止できます。
用途に応じて以下の7つのアラートモードを設定できます。
①full
②fast
③socket
④syslog
⑤console
⑥cmg
⑦none
OSS×Cloud ACCESS RANKING