Comme nous l'avons dit précédemment Snort est un IDS, logiciel qui sert à détecter les intrusions réseaux. Snort utilise la célèbre librairie libpcap, librairie qui sert à capturer des paquets sur le réseau (les programmeurs de logiciels de capture de trames la connaissent bien). En tant qu'IDS, son rôle principal est de surveiller et d'analyser en temps réel le trafic réseau. Mais il peut aussi vérifier des protocoles et certains contenus transitant sur le réseau, détecter des attaques (dépassement de buffer par exemple). Il nécessite bien sûr des mises à jour assez régulières pour garantir continuellement une sécurité des plus optimale et peut être couplé avec d'autres logiciels pour une meilleure visualisation de ses résultats.

Snort dispose de 4 fonctions principales, qui correspondent chacunes à un mode de démarrage de Snort. On distingue:

-Lecture du traffic réseau. Dans ce mode de démarrage, Snort se contentera de lire le trafic réseau en temps réel. On appelle communément ce mode: mode "sniffer".
-Mode packet logger qui, comme son nom l'indique, va logguer dans un fichier tout le traffic réseau.

Ces deux premiers modes ne sont que moyennement intéressants puisqu'ils ne font finalement que du listing du traffic. Les deux modes suivants sont bien plus intéressants:

-Mode IDS. Seul le trafic réseau qui correspond aux règles de sécurité définies sera enregistré. Cela filtre déjà plus le trafic et ne laisse finalement transparaitre que ce que l'administrateur veut voir (le trafic dangereux par exemple).

-Mode IPS. Système de prévention d'intrusion.

Snort doit être mis à jour avec des régles de sécurité. Ces règles sont publiées par SourceFire gratuitement quelques jours après leur publication (sachant qu'il faut payer pour pouvoir les avoir directement à leur sortie). Quelques communautés annexes, comme par exemple BleedingSnort, publient également des mises à jours de sécurité gratuites directement à leur sortie.