Snort
From Wikipedia, the free encyclopedia
Snortは自由でオープンソースのネットワーク侵入検知システム(IDS)、侵入防止システム(IPS)である。[3] ソースファイアの創業者であるMartin Roeschによって1998年に開発された。[4][5] ソースファイアはシスコシステムズが2013年に買収したため、現在は同社が開発を進めている。[6][7][8]
使用法
Snortのネットワークベース侵入検知システム (IDS/IPS) はInternet Protocolの通信において、リアルタイムでのトラフィック解析とパケットのロギングをすることができる。プロトコルの解析、パケットのデータのマッチングなどを行う。
また、OSフィンガープリンティング、セマンティックURL攻撃、バッファオーバーフロー、server message blockの探索 、ステルスポートスキャンなどの攻撃や探索を検知するために使うこともできる。[10]
Snortは以下の3種類のメインモードが設定できる。
- Snifferモード
- Packet Loggerモード
- ネットワーク侵入検知モード
Snifferモード
ネットワーク上のパケットを読み取り、コンソールに表示する。
Packet Loggerモード
このモードでは、パケットのログをディスク上に保存する。
ネットワーク侵入検知(NIDS)モード
侵入検知モードでは、ネットワークのトラッフィックを監視し、ユーザーの設定したルールに照らし合わせて解析する。その結果に従って、ある特定の操作を行う。[11]
サードパーティーのツール
Snortのインターフェースとして、システム管理やパフォーマンス・ログの解析を行うツールがいくつか存在する。
- Snorby – Ruby on Railsによって開発された GPLv3[12]のアプリケーション
- BASE
- Sguil (free)
関連項目
- Sigma(シグネチャフォーマット)
- Suricata(ソフトウェア)
- YARA
- Zeek