20 ancaman atau bukan. Rule pada snort dan suricata menurut AlienVault dalam artikelnya yang berjudul “Suricata IDS. What is it and how to enable it ” menyatakan “Suricata is an alternative IDS which is fully compatible with existing Snort rule” yang dapat diartikan bahwa rule pada Snort dapat digunakan juga oleh Suricata. Secara umum rule terdiri dari dua bagian yaitu rule header dan rule options. Rule header merupakan bagian rule dimana aksi – aksi rule diidentifikasi sperti Pass, Alert, Log, Activate, Dynamic, dan lain sebagainya. Rule option merupakan bagian rule dimana pesan – pesan peringatan alert messages diidentifikasi. Contoh penulisan rule : alert tcp any - any 6667 msg:”IRC port in use”; flow:from_client Bagian pertama rule menetapkan sebuah aksi untuk memperhatikan lalu lintas jaringan pada port 6667. Jika ada ada yang cocok, maka akan muncul pesan “IRC port in use”, dan IDS akan membuat catatan bahwa port IRC telah ada yang mengakses.

2.6. Snort

2.6.1. Tentang Snort

Snort adalah sebuah IDS dan IPS berbasis jaringan yang gratis dan berbasis open source yang diciptakan oleh Martin Roesch pada tahun 1998. Snort sekarang dikembangkan oleh Sourcefire dengan Roesch 21 sebagai pendiri sekaligus CTO dari Sourcefire. Pada 2009, Snort ke jajaran Hall of Fame pada majalah InfoWorld sebagai salah satu yang terbaik pada perangkat lunak berbasis open source sepanjang waktu. Snort sebagai IDS berbasis jaringan open source memiliki kemampuan untuk melakukan analisa lalu lintas jaringan secara real-time dan pendataan paket pada IP jaringan. Snort menjalankan analisa protokol, pencarian isi, dan pencocokan isi. Layanan dasar ini memiliki banyak tujuan termasuk application-aware triggeredquality of service, untuk tidak memprioritaskan lalu lintas massal ketika aplikasi yang sensitive terhadap latency sedang berjalan.

2.6.2. Fungsi Snort

Menurut Rafiudin 2010, secara prinsip, Snort memerankan tiga fungsi utama : 1. Penangkal program – program sniffer paket – paket seperti tcpdump. 2. Packet logger berguna untuk melakukan debug pada lalu lintas jaringan 3. Sebagai system pencegah intrusi untuk sistem – sistem jaringan

2.6.3. Mode Snort

Snort dapat dikonfigurasi pada tiga mode utama yaitu : 22 1. Sniffer Pada mode sniffer, program akan membaca paket jaringan dan menampilkannya pada sebuah konsol. Untuk menjalankan snort pada mode sniffer adalah dengan mengetikan baris perintah : snort –v 2. Packet logger Pada mode packet logger program akan mendata paket ke disk. Untuk menjalankan snort pada mode Packet logger adalah dengan mengetikan baris perintah : snort –dev –l varlogsnort 3. Network intrusion detection Pada mode intrusion detection, program akan memonitor lalu lintas jaringan dan menganalisanya terhadap satu set rule yang ditetapkan oleh pengguna. Program kemudian akan menjalankan sebuah aksi sesifik sesuai dengan apa yang telah diidentifikasi. Untuk menjalankan snort pada mode NIDS adalah dengan mengetikan baris perintah : snort –c snort.conf

2.6.4. Cara kerja Snort