berbagai rules baru untuk mendeteksi tipe-tipe serangan yang baru. Selain itu, berbagai rule khusus dapat dibuat untuk segala macam situasi.
4. Snort sudah memiliki sebuah database untuk berbagai macam rules, dan
database ini secara aktif terus dikembangkan oleh komunitas Snort sehingga tipe-tipe serangan yang baru dapat dicatat
5. Snort merupakan software yang ringkas dan padat, sehingga tidak
memakan banyak resources tetapi cukup canggih dan fleksibel untuk digunakan sebagai salah satu bagian dari NIDS yang terpadu Integrated
NIDS. selain itu, snort bersifat lighweight, maka penerapannya juga mudah dan cepat.
6. Snort dapat melakukan logging langsung ke sistem database MySQL.
7. Snort sebagai NIDS dapat menyembunyikan dirinya dalam jaringan
computer sehingga keberadaannya tidak bisa terdeteksi oleh komputer mana pun. Ini disebut sebagai stealth mode
2.2.3 Snort Rules
Snort Rules merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Snort Rules IDS ini, harus diupdate secara rutin
agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Sebagai contoh rule pada Snort sebagai berikut : alert tcp
EXTERNAL NET alert tcp EXTERNAL NET any - HTTP SERVERS HTTP PORTS msg:WEB-IIS unicode directory traversal attempt; flow:to
server, established; content:¨..c0af..; nocase; classtype:web-application- attack; reference:cve, CVE-2000-0884; sid:981; rev:6;.
Rule di atas terdiri dari 2 bagian: header dan option. Bagian ”alert tcp
EXTERNAL NET any - ¿ HTTP SERVERS HTTP PORTS” adalah header
dan selebihnya merupakan option. Dari rule-rule seperti di ataslah IDS Snort menghukumi apakah sebuah paket data dianggap sebagai penyusupan serangan
atau bukan, paket data dibandingkan dengan rule IDS, jika terdapat dalam rule, maka paket data tersebut dianggap sebagai penyusupan serangan dan demikian
juga sebaliknya jika tidak ada dalam rule maka dianggap bukan penyusupan
serangan. Setelah menginstal Snort engine dan rulesnya, maka langkah selanjutnya adalah mengkonfigurasi Snort engine. Snort engine dimodifikasi
sesuai kebutuhan dan spesifikasi jaringan yang akan dipindai oleh Snort. Cara kerja Snort rules adalah Rules dibaca ke dalam struktur atau rantai
data internal kemudian dicocokkan dengan paket yang ada. Jika paket sesuai dengan rules yang ada, tindakan akan diambil, jika tidak paket akan dibuang.
Tindakan yang diambil dapat berupa logging paket atau mengaktifkan alert.
2.2.4 Flowchart Snort
Flowchart membahas lebih dalam mengenai cara kerja snort. Network traffic yang berisi paket data, akan diambil oleh Snort decoder. Snort decoder
mendecode paket ke dalam data struktur snort untuk dianalisis. Kemudian paket data diteruskan ke preprocessor untuk dilihat paket header-nya dan informasi
didalamnya. Kemudian paket data diteruskan menuju detection engine. Dengan menggunakan rule, detection engine membandingkan antara paket data dan rule
dan memutuskan apakah paket data bisa lewat atau akan di drop. Output engine memberikan hasil dari detection engine dalam format terpisah seperti log file dan
database. Berdasarkan hasil dari detection engine, snort bisa mengambil tindakan lebih lanjut untuk merespon paket tersebut.
Gambar 2.4. Flowchart Snort
2.3 BASE Basic Analysis Security Engine