Damit fragmentierte Pakete die mit Mustererkennung arbeitende Einbruchsüberwachung nicht umgehen können, verfügt Snort über den "Frag-2"-Präprozessor, der die Bruchstücke wieder zusammenbaut, bevor er sie an die Detection Engine weiterleitet.

Der "Stream-4"-Präprozessor macht Snort zu einem Stateful-System, das erkennt, wenn ein Eindringling versucht, das Betriebssystem mit Hilfe von Fingerprinting-Techniken abzufragen.

False-Positives lassen sich in Grenzen halten

Snort agiert auch auf unregelmäßige und daher verdächtige Scan-Versuche, etwa mit "Stealth FIN Scans". Darüber hinaus stehen seit Version 2.0.0 zwei Portscan-Präprozessoren zur Verfügung. Deren Standardkonfiguration führt allerdings in vielen Fällen zu falschbegründeten Fehlermeldungen (False-Positives), vor allem wenn DNS-Server und Web-Proxy-Server im Einsatz sind. Dies lässt sich umgehen, indem man die Portscan-Präprozessoren so konfiguriert, dass sie Traffic von bestimmten Hosts ignorieren. Hierzu kann beim Start von Snort die BPF-Filtersprache gewählt oder eine Pass-Regel für den Durchlass solcher Daten eingerichtet werden.

Detection Engine: Herzstück mit Feintuning-Option

Die Detection Engine ist das Herzstück des IDS. Hier werden die Daten anhand definierter Regeln geprüft und etwaige Angriffe registriert. Die dabei verwendeten, text-basierenden Regelsätze sind nach Gruppen kategorisiert. Die Datei backdoor.rules enthält beispielsweise bekannte Backdoor-Angriffe und Exploits. Die Regelsätze werden regelmäßig aktualisiert und stehen im Internet kostenlos zur Verfügung.