paket logger : untuk mencatat semua paket yang lewat dijaringan untuk
dianalisis di kemudian hari.
3.
NIDS deteksi penyusup pada jaringan : pada mode ini Snort akan berfungsi
untuk mendeteksi serangan yang dilakukan melalui jaringan komputer.
bekerja
untuk
membaca
paket
data
dan
kemudian
membandingkannya
dengan rule snort. Dalam sistem Linux, untuk mendeteksi apakah snort
engine
dalam keadaan aktif atau tidak dengan melihat prosesnya seperti
contoh
di
bawah ini:
[root@localhost rules] # ps aux| grep snort
root 3060 0.0 1.3 9188 820 ?
[**]
[Priority: 2] 05/09-
Contoh alert di atas merupakan alert ketika terdapat paket data dalam
ukuran
besar dari IP Address
sebagai
serangan oleh Snort karena pola paket data tersebut terdapat dalam rule
snort.
Hubungan ketiga komponen IDS dijelaskan dalam gambar berikut :
Paket Data
Snort Engine
Alert
Rule Database
# snort -v
#
snort
-vd
#
snort
-vde
Dengan menambahkan beberapa switch -v, -d, -e akan menghasilkan
beberapa keluaran yang berbeda, yaitu :
-v, untuk melihat header TCP/IP paket yang lewat.
-d, untuk melihat isi paket.
-e, untuk melihat header link layer paket seperti ethernet header.
b) Mode Logger di gunakan untuk melihat paket di kemudian hari
karena paket
yang lewat sedemikian cepat di layar terutama jika kita menggunakan
ethernet
berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekali
susah
untuk melihat paket yang di inginkan, perintah yang digunakan antara
lain :
# snort -vde -l /var/log
c) Mode NIDS, mode operasi Snort yang paling rumit adalah sebagai
pendeteksi
penyusup (intrusion detection) dijaringan yang kita gunakan. Perintah
yang
digunakan adalah :
# snort -d -h 192.168.10.1/16 /var/log/snort -c /etc/snort/snort.conf
d) Untuk melihat alert secara realtime dapat digunakan
perintah
# tail -f /var/log/snort/alert
2.6 Firewall