-> 패킷 스니퍼 (Sniper)
- 네트워크 사으이 다양한 데이터 확인을 위하여 이더넷 인터페이스를 Promiscuous 모드로 동작
- 다양한 네트워크 트래픽을 보기 쉬운 형태로 변환
-> 전처리기 (Preprocessor)
- 스니퍼로 캡처한 모든 패킷을 각종 Plug-IN 으로 검사하여 패킷에서 특정한 행위가 검색 될 경우 탐지 엔진으로 전송
(HTTP Encoding, RPC, Port scanning)
- 프로토콜 규칙을 따르지 않는 패킷을 탐지하기 위한 기능 (비정상 검사)
-> 탐지엔진 (Detector)
- 규칙 기반의 패턴 매칭을 하며, 구칙은 특정한 부분의 일치, 불일치를 검사함 (빠른 속도)
- 최신버전에는 Snort 탐지 엔진 외에 Lua 와 RNA 도 포함되어 있음
-> 로깅 / 경고
- 로깅 : 파일 / Database 지원
- 경고 : 로그파일 / 네트워크 / UNIX 소켓 / 윈도우팝업 / SNMP 트랩 등 지원
덧글