Definition

Snort

Katie Terrell Hanna
von

Was ist Snort?

Snort ist ein Netzwork-Intrusion-Detection-System auf Open-Source-Basis, das vom Sourcefire-Gründer und ehemaligen CTO Martin Roesch entwickelt wurde. Cisco pflegt und wartet Snort nun weiter, nachdem die Firma 2013 Sourcefire kaufte.

Snort wird als Paket-Sniffer bezeichnet, der den Netzwerk-Traffic überwacht und jedes Paket genau untersucht, um gefährliche Nutzlasten oder verdächtige Anomalien zu erkennen. Snort ist seit langem führend unter den Intrusion-Prevention- und Intrusion Detection-Systemen (IPS und IDS) für Unternehmen und kann von Benutzern auf den meisten Linux-Betriebssystemen oder Unix kompiliert werden. Eine Version ist auch für Windows verfügbar.

Wie funktioniert Snort?

Snort basiert auf der Paketerfassung der Bibliothek (libpcap). Libpcap wirds häufig in Sniffern für den TCP/IP-Adressverkehr, in Tools zur Inhaltssuche und -analyse für die Paketprotokollierung, in Echtzeit-Verkehrsanalysen, Protokollanalysen und Content-Matching eingesetzt wird.

Benutzer können Snort als Sniffer, Paketprotokollierer – wie TCPdump oder Wireshark – oder als Methode zur Verhinderung von unbefugtem Eindringen in Netzwerke konfigurieren (Network Intrusion Prevention).

Modus als Intrusion-Prevention-System

Als Intrusion-Prevention-System überwacht Snort den Netzwerk-Traffic und vergleicht ihn mit einem benutzerdefinierten Snort-Regelsatz – die Datei trägt die Bezeichnung snort.conf. Dies ist die wichtigste Funktion von Snort.

Snort wendet Regeln auf den überwachten Traffic an und gibt Warnmeldungen aus, wenn es bestimmte Arten von fragwürdigen Aktivitäten im Netzwerk erkennt.

Es kann Angriffsmethoden im Bereich der Cybersicherheit identifizieren, darunter Betriebssystem-Fingerprinting, DoS-Angriffe (Denial of Service), Pufferüberläufe, gängige Gateway-Interface-Angriffe, Stealth-Scans von Ports und SMB-Probes.

Wenn Snort verdächtiges Verhalten erkennt, fungiert es als Firewall und sendet eine Echtzeitwarnung an Syslog, an eine separate Alarmdatei oder über ein Pop-up-Fenster.

Modus als Paket-Logger und Paket-Sniffer

Wenn ein Anwender Snort als Sniffer konfiguriert, scannt das Tool Netzwerkpakete und identifiziert sie. Snort kann diese Pakete auch in einer Datei protokollieren.

Die Ausgabe von Snort gibt erfolgt relativ schmucklos im Terminal-Fenster oder in einer Datei.
Abbildung 1: Die Ausgabe von Snort gibt erfolgt relativ schmucklos im Terminal-Fenster oder in einer Datei.

Um Snort als Paket-Sniffer zu verwenden, stellen Benutzer die Netzwerkschnittstelle des Hosts auf den Promiscuous-Modus, um den gesamten Netzwerk-Traffic auf der lokalen Netzwerkschnittstelle zu überwachen. Anschließend wird der überwachte Traffic in die Konsole oder eine Datei geschrieben.

Sie können Snort für die verschiedenen Betriebssysteme hier kostenlos herunterladen. Auf der Website finden Sie auch eine ausführliche englische Dokumentation sowie Regeln für Snort.

Diese Definition wurde zuletzt im Oktober 2024 aktualisiert

Erfahren Sie mehr über Netzwerksoftware