次に、パケットは登録済みプリプロセッサセットへと送られます。各プリプ ロセッサは、そのパケットを調査するべきものかか確認します。
さらに、パケットは侵入検知エンジンへと送られます。侵入検知 エンジンはSnortルールファイルに列挙された様々なオプションに基づき 各パケットをチェックします。各キーワードのオプションはプラグインです。 これによって、拡張性が確保されます。
たとえば、パケットにTCPヘッダが含まれていない場合に、TCP解析 プリプロセッサは簡単に処理から戻ってくることができます。 以下の説明で確認できます。
if (p->tcph==NULL) return;
同様に、パケットに``再構築済み''またはログ取得済みのフラグを 付けるため、多くのpacket_flagsが利用できます。PKT_*定数の リストについてはsrc/decode.hをご確認ください。。