Snort
O que é o Snort?
O Snort é um famoso IDS (Intrusion Detection System) - Sistema de Detecção de Intrusão. Ele é um programa que fica o tempo todo, enquanto está funcionando, vigiando a entrada que a rede tem à máquina para nos informar caso haja alguma tentativa de ataque. O Snort é como um guarda desarmado, mas com uma máquina fotográfica à mão. Essa foi a explicação mais simples. Vamos, então, saber melhor o que é o Snort.
O Snort é basicamente um farejador de rede com capacidade de reconhecer padrões de cabeçalho e de conteúdos de pacotes. A parte interessante é que essa capacidade é altamente configurável.
Um farejador de rede é um programa que escuta em uma dada interface de rede os pacotes que por ela passam. Tipicamente, os únicos pacotes que por ela passam e também são lidos por inteiro são aqueles que se destinam à máquina a qual pertence a interface.
Um farejador, no entanto, pode, se quiser, capturar não somente os pacotes destinados a sua máquina, mas também todos os pacotes que por ela passarem, independetemente de sua origem ou destino. Isso é mais eficaz, é claro, quanto mais máquinas estiverem enviando pacotes em broadcast na mesma seção de rede que o farejador. Uma interface de rede é dita estar em estado promíscuo quando permite um farejador escutar quaisquer pacotes. O Snort pode funcionar e funciona, por padrão, sobre interfaces em modo promíscuo.
O que o Snort faz?
Assim que o Snort captura os pacotes ele os analiza segundo assinaturas de reconhecimento de ataques, que nada mais são do que padrões de conteúdos dos pacotes que são comparados aos dos pacotes reais que entram em nossa máquina para tentar reconhecer sua função.
Aqueles conjuntos de pacotes que forem reconhecidos como maliciosos fazem o Snort logar uma tentativa de ataque em seu log de alertas. Para tanto, o Snort consulta regras que decidem o que deve ou não ser logado e como o deve. Uma regra pega o diagnóstico dado a um pacotes e decide como irá