Snort kann als reiner Packet-Sniffer, als Packet-Logger oder als Network Intrusion Detection System (NIDS) agieren. Das Open-Source-Tool besteht aus den vier aufeinander aufbauenden Hauptkomponenten Sniffer, Präprozessor, Detection Engine und einem für die Ausgabe zuständigen Plugin. Der Packet-Sniffer liest die Pakete des Netzwerkverkehrs mittels libcap oder wincap und protokolliert sie.

Mit der Logging-Funktion lassen sich die Daten in einer Datei sammeln, in Verzeichnissen sortieren und für eine spätere Weiterverarbeitung speichern. Sie dienen der Netzwerkanalyse, Fehlerbehebung oder der Leistungsanalyse.

Dabei legt der Administrator fest, welche Daten aufgezeichnet werden und wo und wie (Text- oder Binärform) diese abzulegen sind. Werden die Daten als binäre Datei gespeichert, lassen sich die Datenpakete wesentlich schneller sammeln, da die Software sie nicht in ein vom Administrator lesbares Format umwandeln muss.

Die Präprozessoren nehmen die Paketdaten auf und verarbeiten sie noch vor der eigentlichen Analyse. Dabei werden die gesammelten Pakete auf ein bestimmtes Verhalten untersucht und einem Verhaltenstyp zugeordnet. Hier entscheidet sich, ob ein Datenrahmen beobachtet, verworfen, modifiziert oder ob ein Alarm ausgelöst wird. Eine weitere Aufgabe der Präprozessoren besteht darin, HTTP-, Telnet-, FTP- und RPC-Traffic in ein lesbares Format zu übertragen.