我們常會使用網路型入侵偵測系統來管理網路安全和監控流量，在前幾篇也帶大家用 Snort 動手架設屬於自己的入侵偵測系統。

Snort 有分成四種主要運行模式，分別為：
* 封包監聽模式（Sniffer mode）
* 封包記錄模式（Packet Logger mode）
* 網路型入侵偵測系統模式（Network Intrusion Detection System mode，NIDS）
* Inline mode。

在不同的模式下運行，可以滿足不同需求。

這篇就來介紹一下這四種主要模式吧～

本篇大綱
一、封包監聽模式（Sniffer mode）
二、封包記錄模式（Packet Logger mode）
三、網路型入侵偵測系統模式（NIDS）
四、Inline mode

一、封包監聽模式（Sniffer mode）

• Sniffer mode 主要用來監聽網路流量並分析封包，並將所監聽到的封包內容顯示於螢幕上。
• Snort 在此模式下只會關注封包的解析和記錄，不主動偵測入侵事件或發出警報。
• 適用情境：了解網路流量模式、故障排除和性能監控。

二、封包記錄模式（Packet Logger mode）

• Packet Logger mode 用來記錄接收到的網路封包，並將所監聽到的封包記錄到硬碟中，以供後續分析和調查使用，一樣也不會主動警告或阻止任何潛在的威脅。
• 適用情境：捕獲和存儲網路流量。

三、網路型入侵偵測系統模式（NIDS）

• 網路型入侵偵測系統模式（NIDS）是 Snort 最常見的運行模式。
• 在此模式下，Snort 監聽網路流量，分析封包，並生成警報，並偵測可能的入侵或威脅。
• 可以識別和報告各種網路攻擊，如惡意軟體、網路掃描、漏洞利用、日誌記錄、警報通知等。

四、Inline mode

• Inline mode 是 Snort 的進階模式。
• 它不僅可以偵測入侵，還可以主動阻止惡意流量。
• 通常需要額外的硬體支援或設備，如：入侵防禦系統（IPS）。
• 會從防火牆（Iptables）來擷取封包，而非透過 libpcap。
• 這模式允許 Snort 即時介入網路流量，阻止潛在的威脅，是一個主動的入侵防禦模式，保護網路免受攻擊。

Snort 提供了不同模式的選擇，來滿足不同的需求。
你也可以根據自己的具體需求和網路環境，選擇最適合的模式來配置和使用 Snort～

接下來主要還是會針對操作**網路型入侵偵測系統模式（NIDS）**喔！