Snort的创始人MartyRoesch把Snort定位为轻量级的入侵检测系统。其实,这个定位是不妥当的。无论对小的家庭用户还是繁忙的公司网络,Snort都有能力实时分析和记录IP数据包,其基于规则的检测引擎能够检测多种变种攻击,包括CGI扫描,缓存区溢出攻击,SMB探测等。还能为确定网络中一些莫名其妙的服务都是做什么的提供帮助。Snort能运行在众多的硬件平台和操作系统上。因为其可扩展的体系结构和开放源码的发布模式,Snort成为入侵检测软件中非常流行的选择。经常有已经花费了数千美元购买入侵检测系统的管理员还使用Snort来填补网络中的一些缺口。从本质上说,Snort是网络数据包嗅探器。只要运行Snort时不加载规则,就可以把网络中的数据包显示出来。但是Snort的真正价值在于把数据包经过规则处理的过程。Snort灵活的和强大的语言能对网络中的所有数据包作充分的分析,决定如何处理任何特殊的数据包。Snort可以选择的方式有忽略、记录或告警管理员。Snort有很多种记录或告警的方法,例如,syslog、写入文件、写入XML格式文件、发送WinPopup消息等。当有了新的攻击手段时,只要简单加入新的规则就可以升级Snort。尽管Snort设计得很简洁,但它并不是一个能够即安即用的方案。要想把Snort用好,用户必须对Snort的原理非常熟悉。本书的作者将花很多篇幅教读者如何使用Snort,从基础的安装到高级的规则配置,覆盖了使用Snort的方方面面,包括基本安装、预处理插件配置、系统优化等。在这些方面作者提供了珍贵的和有价值的经验,并用简单易懂的语言描述出来。这是目前惟一如此深入地描述如何安装、配置和使用Snort的文档。Snort没有打算做所有的事情,没有打算和商业入侵检测软件作全面竞争。但是在分析和定位恶意的网络流量时,Snort会做得更好。秘诀就是Snort能让使用者完全定制自己的规则。定制规则的前提是使用者有关于Snort规则的相关知识。第五章剖析了Snort规则的构成,指导读者如何完成一个高效和精确的规则,并详细介绍了每个变量,选项和可能用到的动作。