Snort は基本的にパケットのペイロードまでダンプして監視が可能である。 従って、単純にヘッダーレベルでの監視に留まらないのが特徴であるが、 同時に、多くのパケットのダンプとチェック(実際には文字列の比較)に はそれなりのCPUパワーを消費する。従って、如何にうまくルールを書くか が問題となる(あるいは監視しないかが)。
