Os decodificadores da Snort olham para a estrutura do pacote e recuperam coisas como cabeçalhos IP. Os pré-processadores são responsáveis por coisas como a reconstrução de pacotes fragmentados e o rastreamento de fluxos de protocolo, como o HTTP. Eles também são capazes de gerar alertas para pacotes formados de forma suspeita ou outras condições muito parecidas com regras regulares de snort.
Incluindo os arquivos preproc.rules e decoder.rules, é possível ativar os alertas incorporados nos decodificadores e pré-processadores que você pode ter carregado e ativado no snort.conf. Se as regras não estiverem incluídas, o snort desativa os alertas.
Versões mais antigas do snort permitiram esses alertas por padrão e os alertas necessários foram suprimidos se não fossem necessários, o que era mais difícil de gerenciar.