Snort

"Snort" gehört zu den Network-Intrusion-Detection-Systemen (NIDS), die Angriffe auf Hosts und Netzwerke erkennen und gegebenenfalls abwehren. Das Programm existiert mittlerweile seit über zehn Jahren und genießt eine sehr weite Verbreitung. Grundsätzlich bietet das Open Source-Tool vier Betriebsmodi: Zunächst den Sniffer-Mode, der lediglich Pakete vom Netzwerk liest und anzeigt. Der Packet-Logger-Mode schreibt die Pakete im Gegensatz dazu auf die Platte. Die eigentliche Stärke von Snort liegt aber im NIDS-Mode, der den Netzwerkverkehr liest, analysiert und aufgrund vordefinierter Analyseregeln verschiedene Aktionen ausführt. Der vierte Modus, der Inline-Mode, verwendet die Linux-iptables-Firewall-Regeln, um den Netzwerkverkehr aktiv zu steuern. Snort arbeitet rein textorientiert als Kommandozeilenwerkzeug, kann jedoch über diverse Add-Ons mit einer GUI versehen werden. Ebenso lässt sich das Output-Format per Kommandozeile bestimmen, über Zusatztools kann der Nutzer die Ergebnisse zudem als HTML-Datei ausgeben. Das Werkzeug benötigt zum Mitlesen des Netzwerkverkehrs die Packet Capture Library (libPCAP). Im Gegensatz zu manch anderem Open Source-Projekt steht auf der Homepage von Snort eine umfangreiche Anleitung zum Download bereit.