Snort 2.9.7.6

Snort — система обнаружения и предупреждения вторжений (IDS). 

Snort — сетевая IDS с анализом по шаблонам (правилам) и обнаружением аномалий (некоторые модули препроцессора). Система с открытыми текстами (GNU, компания Sourcefire, 2.8.1 на 10 апреля 2008). Доступ к базе шаблонов ограничен (желающие могут писать свои шаблоны или искать их в Интернет).

Может работать в режимах прослушивания сети, журналирования сетевой активности и IDS. Шаблоны определяются набором правил обработки пакетов и программ препроцессирования (дефрагментация, сборка TCP потока). Новые шаблоны (правила) поддерживаются только в новой версии. Правила делятся на типы и нумеруются (SID — Sensor ID). Возможно написание своих подключаемых модулей. Графический интерфейс — Demarc/Puresecure (Unix) и IDScenter (MS Windows).

Для работы требуется большой и быстрый диск (RAID) — 100GB; много оперативной памяти (170MB на интерфейс для x86; 250MB — для x86-64); быстрая сетевая карта (zero copy transfer, подсчёт контрольных сумм, опрос вместо обработки прерываний, NAPI), желательно отдельная сетевая карта. Поддерживаемые ОС (требуется libcap): Linux, FreeBSD, NetBSD, OpenBSD, MS Windows, Sparc Solaris, x86 Mac OS X, PowerPC Mac OS X, PA-RISC HP-UX. Входит в состав некоторых Live CD: Auditor, Trinux, Bootable Snort Project, NST (Network Security Toolkit, сконфигурированный Snort, MySQL и веб-интерфейс). Snort — однопоточная система, для использования нескольких процессоров можно запускать несколько копия с соответствующими фильтрами захвата. Желательно привязать процесс и обработчик прерываний к одному и тому же процессору.



Подписаться на канал в Telegram

Комментировать

*

code