Snort adalah sistem deteksi intrusi jaringan gratis yang dapat diinstal dan dikonfigurasi pada Linux. Langkah-langkahnya meliputi mengunduh, mengekstrak, menginstal Snort beserta paket pendukungnya, membuat direktori dan file konfigurasi, menambahkan aturan dasar untuk ICMP, lalu menjalankan Snort secara interaktif atau sebagai daemon untuk memantau lalu lintas jaringan dan mencatat intrusi.

1. 1
Manaf HSB : Install dan Konfigurasi Snort
Install dan Konfigurasi Snort di Linux Debian/Ubuntu
Snort adalah sistem pendeteksi intrusi jaringan yang dapat berjalan pada Sistem Operasi
UNIX/GNU/Linux dan Microsoft Windows, aplikasi ini sangat ringan di dalam penggunaannya serta
bisa di dapatkan secara gratis.
Langkah-Langkah :
1. Download dan Ekstrak Snort
Download Snort versi gratis dari website Snort. Ekstrak Source code Snort ke dalam direktori
/usr/src dengan cara berikut :
2. Instal Snort
Sebelum menginstal snort, pastikan anda sudah memiliki paket dev dari libpcap dan libpcre.
Ikuti langkah-langkah berikut untuk menginstal snort.
3. Verifikasi Instalasi Snort
Verifikasi instalasi seperti yang ditunjukkan di bawah ini :
4. Buat direktori dan file yang diperlukan
Anda harus membuat file konfigurasi, aturan file dan direktori log
 Buat direktori berikut:
1. # cd /usr/src
2. # wget -O snort-2.8.6.1.tar.gz http://www.snort.org/downloads/116
3. # tar xvzf snort-2.8.6.1.tar.gz
1. # apt-cache policy libpcap0.8-dev
2. # apt-cache policy libpcre3-dev
1. # cd snort-2.8.6.1
2. # ./configure
3. # make
4. # make install
# snort --version
,,_ -*> Snort! <*-
o" )~ Version 2.8.6.1 (Build 39)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Using PCRE version: 7.8 2008-09-05
1. # mkdir /etc/snort
2. # mkdir /etc/snort/rules
3. # mkdir /var/log/snort

2. 2
 Buat file berikut secara manual :
Isikan dengan :
Isikan dengan :
Aturan dasar atas tidak akan memberikan pesan peringatan ketika ada sebuah paket ICMP
(ping).
Berikut ini adalah struktur dari sebuah pesan peringatan :
Tabel Struktur Aturan dan contoh
5. Menjalankan Snort
Jalankan Snort dengan perintah berikut :
Untuk memeriksa aturan ping yang telah kita buat, coba ping beberapa IP dari komputer anda,
kemudian lihat isi file /var/log/snort/alert
Berikut adalah contoh peringatan dari Snort untuk aturan ICMP.
Maka isinya adalah seperti berikut :
# cat /etc/snort/snort.conf
include /etc/snort/rules/icmp.rules
# cat /etc/snort/rules/icmp.rules
alert icmp any any -> any any (msg:"ICMP Packet"; sid:477; rev:3;)
<Rule Actions> <Protocol> <Source IP Address> <Source Port> <Direction Operator>
<Destination IP Address> <Destination Port> (rule options)
Sturuktur Contoh
Rule Actions alert
Protocol icmp
Source IP Address any
Source Port any
Direction Operator ->
Destination IP Address any
Destination Port any
(rule options) (msg:”ICMP Packet”; sid:477; rev:3;)
# snort -c /etc/snort/snort.conf -l /var/log/snort/
# head /var/log/snort/alert
[**] [1:477:3] ICMP Packet [**]
[Priority: 0]
07/27-20:41:57.230345 > l/l len: 0 l/l type: 0x200 0:0:0:0:0:0
pkt type:0x4 proto: 0x800 len:0x64
209.85.231.102 -> 209.85.231.104 ICMP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8 Code:0 ID:24905 Seq:1 ECHO

3. 3
Penjelasan pesan peringatan :
Baris akan ditambahkan untuk setiap ada peringatan, yang meliputi:
1. Pesan dicetak di baris pertama.
2. Sumber IP
3. IP tujuan
4. Jenis paket, dan informasi header.
Jika Anda memiliki interface yang berbeda untuk koneksi jaringan, kemudian menggunakan -
dev opsi -i. Dalam contoh ini antarmuka jaringan saya adalah ppp0.
Menjalankan Snort sebagai Daemon
Tambahkan opsi -D untuk menjalankan Snort sebagai daemon (services)
Informasi tambahan tentang Snort
 File default konfigurasi dari Snort tersedia di snort-2.8.6.1/etc/snort.conf
 Aturan default dapat didownload dari: http://www.snort.org/snort-rules
Ref :
http://www.thegeekstuff.com/
# snort -dev -i ppp0 -c /etc/snort/snort.conf -l /var/log/snort/
# snort -D -c /etc/snort/snort.conf -l /var/log/snort/