Os materiais didáticos aqui disponibilizados estão licenciados através de Creative Commons Atribuição-SemDerivações-SemDerivados CC BY-NC-ND. Você possui a permissão para visualizar e compartilhar, desde que atribua os créditos do autor. Não poderá alterá-los e nem utilizá-los para fins comerciais.
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
Cursos / Redes de Computadores / Segurança em Redes / Aula
O Snort é um dos NIDS mais utilizados no mundo. Ele realiza a análise de tráfego em tempo real, identificando ataques direcionados a uma rede (ou host). Sua ação é baseada na análise de protocolos e comparação com padrões característicos de ataques. O Snort, segundo Caswell et. al. (2003), possui quatro módulos principais: sniffer; pré-processador; detector de intrusão e gerador de alertas e registros. A Figura 9 mostra a arquitetura do Snort.
O sniffer realiza a captura dos pacotes. Os pré-processadores são responsáveis por classificar os dados capturados. Em seguida, os pacotes são enviados para o mecanismo de detecção, no qual serão comparados com um conjunto de regras que contêm informações sobre ataques conhecidos, como por exemplo, cavalos de troia.
Se um pacote corresponder às informações de alguma regra, ele será enviado para o gerador de alertas. Esses alertas podem ser registrados em um arquivo de log ou armazenados em um banco de dados. A partir dos alertas gerados, pode-se executar ações específicas com base no ataque identificado. O Quadro 1 mostra alguns comandos básicos do Snort.
| Comando | Função |
| snort –v | Imprime os cabeçalhos dos pacotes TCP/IP na tela. |
| snort –vd | Mostra também os dados contidos no pacote. |
| snort –vde | Mostra também os cabeçalhos de enlace. |
| snort -vde -l log.txt | Gera os alertas em um arquivo de nome log.txt. |
| snort -vde -l log -h 192.168.0.2 | Realiza a detecção de intrusão nos pacotes destinados ao IP 192.168.0.2 |
Versão 5.3 - Todos os Direitos reservados