Snort adalah NIDS (Network Intrussion Detection System) yang bekerja dengan menggunakan signature detection, berfungsi juga sebagai sniffer dan packet logger. cara kerjanya hampir sama dengan software Wireshark, akan tetapi Snort bisa digunakan sebagai NIDS (Network Intrussion Detection System) mode. Snort dapat dipakai dalam packet sniffermode sehingga bekerja sebagai sniffer sama seperti Wireshark. Sama seperti Wireshark, Snort juga dapat menyimpan setiap packet yang di-capture ke dalam media penyimpan di modus packet logger mode. Akan tetapi berbeda dengan Wireshark. Pada mode NIDS , Snort akan menganalisa packet berdasarkan rule yang ada untuk mengenali adanya upaya serangan hacker.
Snort memiliki karakteristik sebagai berikut ini :
•Berukuran kecil – Source code dan rules untuk rilis 2.1.1 hanya 2256k.
•Portable untuk banyak OS – Telah diporting ke Linux, Windows, OSX, Solaris, BSD,dll.
•Cepat – Snort mampu mendeteksi serangan pada network 100Mbps.
•Mudah dikonfigurasi – Snort sangat mudah dikonfigurasi sesuai dengan kebutuhan network kita. Bahkan kita juga dapat membuat rule sendiri untuk mendeteksi adanya serangan baru.
•Free – Kita tidak perlu membayar sepeser pun untuk menggunakan snort. Snort bersifat open source dan menggunakan lisensi GPL.
Cara Kerja SNORT yaitu sebagai berikut :
Packet decoder – mengambil data di layer 2 yang dikirim dari packet capture library(proses 1). Pertama ia akan memisahkan Data link (seperti ethernet, TokenRing, 802.11) kemudian protokol IP, dan selanjutnya paket TCP dan UDP. Setelah pemisahan data selesai, snort telah mempunyai informasi protokol yang dapat diproses lebih lanjut.
2. Preprocessor.
Selanjutnya dilakukan analisis (preprocessor) atau manipulasi terhadap paket sebelum dikirim ke detection engine. Manipulasi paket dapat berupa ditandai, dikelompokan atau malah dihentikan.
3. Detection Engine.
Inilah jantung dari snort. Paket yang datang dari packet decoder akan ditest dan dibandingkan dengan rule yang telah ditetapkan sebelumnya. Rule berisi tanda-tanda (signature) yang termasuk serangan.
4. Output.
Output yang dihasilkan berupa report dan alert. Ada banyak variasi output yang dihasilkan snort, seperti teks (ASCII), XML, syslog, tcpdump, binary format, atau Database (MySQL, MsSQL, PostgreSQL, dsb).
