Snort

Snort ist ein NIDS (Network Intrusion Detection System), das als Open Source entwickelt wird. Ursprünglicher Entwickler der Software ist Martin Roesch. Snort ist ein Paket-Sniffer, der Netzwerk-Traffic in Echtzeit überwacht. Jedes Paket wird dabei genau überprüft. Snort sucht in den Inhalten nach gefährlichen Payloads oder verdächtigen Anomalien.

Snort basiert auf libpcap (engl. Abkürzung für Library Packet Capture). Es handelt sich hierbei um ein Tool, das man häufig in TCP/IP-Traffic-Sniffern und Analyse-Programmen einsetzt. Mithilfe von Protokoll-Analyse und dem Durchsuchen des Inhalts auf bestimmte Muster erkennt Snort Angriffsmethoden wie DoS (Denial of Service), Buffer Overflow, CGI-Angriffe, Stealth Port Scans und SMB-Sondierungen. Sobald die Software etwas Verdächtiges erkennt, schickt Snort eine Warnung in Echtzeit an ein Syslog, also eine separate Alarmdatei. Alternativ kann auch ein Pop-Up-Fenster als Warnung konfiguriert werden.

Die NSS Group ist eine europäische Organisation für Netzwerk-Security-Tests. Sie hat Snort zusammen mit anderen IDS-Produkten (Intrusion Detection Systems) von 15 großen Anbietern unter die Lupe genommen. Darunter befanden sich Namen wie Cisco, Computer Associates und Symantec. Laut NSS hat Snort, das komplett als Freeware und Open Source entwickelt wird, die proprietären Produkte weit hinter sich gelassen.