Komponen SNORT

     Snort merupakan packet sniffing yang sangat ringan. Sniffing interface yang digunakan berbasis libcap. Terdapat hubungan antara snort dan tcpdump, yaitu snort memanfaatkan tcpdump untuk mengambil (capture) paket pada jaringan. Salah satu keunggulan snort adalah snort memiliki sistem plugin yang sangat fleksibel untuk dimodifikasi.

Gambar 1.1 Komponen Snort

1. Pakcet capture library (libcap)
   Komponen ini yang akan memisahkan paket data yang melalui ethernet card yang selanjutnya akan digunakan oleh snort
2. Packet Decoder
   Komponen ini mengambil data di layer 2 yang dikirim oleh komponen sebelumnya (packet capture library). Untuk proses pertama yaitu dengan memisahkan data link (ethernet, tekonring, 802.11) kemudian protokol IP, dan yang terakhir adalah jenis paket TCP dan UDP. Hasil dari proses ini adalah adanya informasi mengenai protokol yang digunakan proses selanjutnya.
3. Preprocessor
   Selanjutnya dilakukan analisis terhadap paket sebelum sebelum diproses oleh komponen berikutnya. Adapun proses analisis yang dilakukan dapat berupa ditandai, dikelompokkan atau dihentikan karena paket yang diterima tidak lengkap.
4. Detection Engine
   Detection engine ini dapat dikatakan sebagai jantung dari snort. Paket yang diterima di sini  setelah melalui beberapa tahapan proses akan dibangdingkan degnan rule yang ada atau telah ditetapkan sebelumnya.
5. Output
   Setelah proses detection endine dilakukan maka hasilnya adalah berupa report dan alert. Snort mendukung variasi dari output yang dihasilkan, yaitu teks((ASCII), syslog, xml, binary, atau database, (MySql,, MsSql, PostgreSpl, dan sebagainya)

<< Kembali ke materi sebelumnya

Share: