Snort

Snort é um analisador de tráfego (sniffer) de pacotes e registador (logger) que pode ser usado como um sistema leve para a detecção de intrusos. Ele tem a capacidade de registrar eventos com base em regras e pode executar a análise de protocolo, busca por conteúdo e comparação de pacotes. É usado para detectar uma variedade de ataques e sondagens, como scans de portas (port scans, ataques CGI, sondas SMB, tentativas de identificação do sistema operativo e muitos outros tipos de padrões anómalos de tráfego. O Snort possui a capacidade de alertas em tempo real, que podem notificar administradores sobre os problemas no momento em que ocorrem, de várias maneiras.

A instalação e execução do Snort não é trivial e, dependendo da quantidade de tráfego na rede, possivelmente irá requerer uma máquina de monitorização dedicada, com recursos consideráveis. Felizmente, o Snort é muito bem documentado e tem uma forte comunidade de utilizadores. Ao implementar um conjunto de regras completas para o Snort, você pode identificar comportamentos inesperados que, de outra maneira, poderiam consumir toda a sua largura de banda de internet.