For å utføre DPI, er noen solide verktøy som trengs. Det er mange frittstående kommersielle DPI leverandører, inkludert Fluke Networks, Network Instruments, Trend Micro og andre som hevder å være i stand til å oppdage ondsinnet RAT trafikk, men disse produktene koster penger. Hvis budsjettet er begrenset - som de fleste sikkerhets budsjetter er - jeg vil anbefale Snort. Nå kan du kanskje si, " Jeg trodde DPI er for beregningskrevende for Snort ". Med fare for å bli for dypt inn i ugress, studier tyder på at Snort oppførsel under DPI er faktisk raskere enn noen av de mer fremtredende maskinvareenheter spesielt dedikert til DPI. Dette er i stor grad på grunn av Snort er lette natur, og det faktum at dens oppdagelse motor kamper strenger parallelt. Når det er sagt, Snort oppførsel i DPI scenarier er svært avhengig av at Snort administrator mulighet til å konfigurere reglene. For eksempel kan sikkerhetsadministratorer vil søke etter den heksadesimale strengen " 0x90 " inne i hver pakke, fordi dette er den NOP (No Operation) kommandoen i assembly, og det er en svært vanlig utnytte i x86 arkitekturen. Den Snort administrator kan deretter opprette følgende varsel regel:
alert tcp alle alle - > alle alle (msg: " Mulig NOP utnytte "; innhold: " | 90 | ";)
Dette er et varsel regel som fokuserer på TCP-trafikk, men mer spesifikt, det fokuserer på trafikk fra en IP-adresse til en IP-adresse. En melding er opprettet som indikerer at NOP utnytte kan skje inne i nettverket, og Snort administrator kan ha reddet dagen rett og slett ved å opprette en en-linje regelen.