Snort

Snort, Cisco tarafından geliştirilen ve dünya genelinde en yaygın kullanılan açık kaynaklı ağ tabanlı izinsiz giriş tespit sistemidir (NIDS). İmza tabanlı, anomali tabanlı ve protokol analizi yöntemlerini birleştiren Snort; ağ trafiğini gerçek zamanlı olarak izleyerek port taraması, arabellek taşması ve kötü amaçlı yazılım trafiği gibi saldırıları tespit eder ve kayıt altına alır.

Öne Çıkan Özellikleri

• İmza (signature) ve anomali tabanlı tehdit tespiti
• Paket yakalama ve loglama modu
• IDS ve inline IPS modları
• Geniş topluluk kural seti ve Snort Subscriber kuralları
• Preprocessor sistemi ile protokol çözümleme
• Snort 3 ile çok iş parçacıklı performans
• Linux, Windows ve macOS desteği
• GPL lisansıyla ücretsiz; ticari kural seti ücretli

Kullanıcıların En Çok Sorduğu Sorular

Snort’ta ağ trafiği nasıl izlenir?
1. Snort’u kurun ve /etc/snort/snort.conf dosyasında HOME_NET‘i kendi ağınızla güncelleyin.
2. Kural dosyalarının doğru yolda olduğunu doğrulayın.
3. IDS modunda başlatın: sudo snort -A console -q -c /etc/snort/snort.conf -i eth0
4. Uyarılar terminalde ve /var/log/snort/alert dosyasında görünür.

Snort’a basit bir port taraması tespiti kuralı nasıl yazılır?
1. /etc/snort/rules/local.rules dosyasını açın.
2. Kural ekleyin: alert tcp any any -> $HOME_NET 22 (msg:"SSH Port Scan"; flags:S; threshold:type both, track by_src, count 5, seconds 10; sid:9000001; rev:1;)
3. Dosyayı kaydedin ve Snort’u yeniden başlatın.
4. 10 saniyede 5’ten fazla SSH bağlantı denemesi gelince uyarı oluşur.

Alternatif Programlar

• NixOS
• Raspberry Pi OS
• Proxmox VE