Professional Documents
Culture Documents
Deskripsi Snort
Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati aktivitas
dalam suatu jaringan komputer. Snort dapat digunakan sebagai suatu Network Intrusion
Detection System (NIDS) yang berskala ringan (lightweight), dan software ini
menggunakan sistem peraturan-peraturan (rules system) yang relatif mudah dipelajari
untuk melakukan deteksi dan pencatatan (logging) terhadap berbagai macam serangan
terhadap jaringan komputer. Dengan membuat berbagai rules untuk mendeteksi ciri-ciri
khas (signature) dari berbagai macam serangan, maka Snort dapat mendeteksi dan
melakukan logging terhadap serangan-serangan tersebut. Software ini bersifat
opensource berdasarkan GNU General Public License [GNU89], sehingga boleh
digunakan dengan bebas secara gratis, dan kode sumber (source code) untuk Snort juga
bisa didapatkan dan dimodifikasi sendiri bila perlu. Snort pada awalnya dibuat untuk
sistem operasi (operating system) berdasarkan Unix, tetapi versi Windows juga sudah
dibuat sehingga sekarang ini Snort bersifat cross-platform.
Snort sendiri merupakan software yang masih berbasis command-line, sehingga cukup
merepotkan bagi pengguna yang sudah terbiasa dalam lingkungan Graphical User
Interface (GUI). Oleh karena itu, ada beberapa software pihak ketiga yang memberikan
GUI untuk Snort, misalnya IDScenter untuk Microsoft Windows, dan Acid yang
berbasis PHP sehingga bisa diakses melalui web browser.
Snort menggunakan suatu bahasa deskriptif untuk menentukan rules atau peraturan-
peraturan guna pendeteksian berbagai macam serangan terhadap jaringan komputer.
Bahasa deskriptif ini relatif mudah dipelajari namun cukup fleksibel dan canggih.
Peraturan Snort dibagi menjadi 2 bagian, yaitu rule header dan rule options. Rule header
berisikan tindakan yang harus dilakukan, protokol yang dimonitor, alamat IP asal dan
tujuan, netmask, serta nomor port asal dan tujuan. Rule options berisikan pesan-pesan
yang dimunculkan, serta bagian mana dari paket yang harus diamati untuk menentukan
apakah perlu melakukan tindakan atau tidak.
Contoh peraturan di Snort adalah sebagai berikut:
alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|";
msg:"mountd access";)
Yang ada di antara ( ) merupakan rule options, sedangkan bagian sebelumnya adalah
rule header. Di rule header di atas, terlihat bahwa Snort harus memberikan alert jika ada
access menggunakan protokol tcp dari alamat IP mana saja port 24 ke alamat IP mana
saja port 111 dengan netmask 192.168.1.0. Netmask digunakan untuk menentukan
nomor jaringan. Di rule options, ditentukan bahwa Snort akan memberikan pesan
“mountd access” jika di dalam paket terdapat isi heksadesimal “00 01 86 a5”.