Snort有三種工作模式:嗅探器、數據包記錄器、網絡入侵檢測系統(ids)。
嗅探器模式僅僅是從網絡上讀取數據包並作為連續不斷的流顯示在終端上。
數據包記錄器模式把數據包記錄到硬盤上。
網絡入侵檢測模式是最復雜的,而且是可配置的。可以讓snort分析網絡數據流以匹配用戶定義的一些規則,並根據檢測結果采取一定的動作。
Snort能夠對網絡上的數據包進行抓包分析,但區別於其它嗅探器的是,它能根據所定義的規則進行響應及處理。
Snort 通過對獲取的數據包,進行各規則的分析后,根據規則鏈,可采取:Activation(報警並啟動另外一個動態規則鏈)、Dynamic(由其它的規則包調用)、
Alert(報警),Pass(忽略),Log(不報警但記錄網絡流量)五種響應的機制。
Snort有數據包嗅探,數據包分析,數據包檢測,響應處理等多種功能,每個模塊實現不同的功能,各模塊都是用插件的方式和Snort相結合,功能擴展方便。
Snort通過在網絡TCP/IP的5層結構的數據鏈路層進行抓取網絡數據包,抓包時需將網卡設置為混雜模式,根據操作系統的不同采用libpcap或winpcap函數從
網絡中捕獲數據包;然后將捕獲的數據包送到包解碼器進行解碼。
解碼器--->預處理器--->規則檢測--->輸出模塊