Organisasie OISF (Open Information Security Foundation) vrystelling van netwerk indringing opsporing en voorkoming stelsel , wat gereedskap verskaf om verskillende soorte verkeer te inspekteer. In Suricata-konfigurasies is dit moontlik om te gebruik , ontwikkel deur die Snort-projek, sowel as stelle reëls и . Projek bronne gelisensieer onder GPLv2.
Belangrikste veranderinge:
- Nuwe modules vir ontleed- en logprotokolle is bekendgestel
RDP, SNMP en SIP geskryf in Rust. Die vermoë om aan te meld via die EVE-substelsel is by die FTP-ontledingsmodule gevoeg, wat gebeurtenisuitset in JSON-formaat verskaf; - Benewens die ondersteuning vir die JA3 TLS-kliënt-identifikasiemetode wat in die laaste weergawe verskyn het, ondersteun die metode , Gebaseer op die eienskappe van verbindingsonderhandeling en gespesifiseerde parameters, bepaal watter sagteware gebruik word om 'n verbinding te vestig (dit laat jou byvoorbeeld toe om die gebruik van Tor en ander standaardtoepassings te bepaal). JA3 laat jou toe om kliënte te definieer, en JA3S laat jou toe om bedieners te definieer. Die resultate van die bepaling kan in die reëlinstellingstaal en in logboeke gebruik word;
- Bygevoeg eksperimentele vermoë om monsters van groot datastelle te pas, geïmplementeer met behulp van nuwe bedrywighede . Byvoorbeeld, die funksie is van toepassing op soek na maskers in groot swartlyste wat miljoene inskrywings bevat;
- HTTP-inspeksiemodus bied volledige dekking van alle situasies wat in die toetsreeks beskryf word (bv. dek tegnieke wat gebruik word om kwaadwillige aktiwiteite in die verkeer weg te steek);
- Gereedskap vir die ontwikkeling van modules in die Rust-taal is oorgedra van opsies na verpligte standaardvermoëns. In die toekoms word beplan om die gebruik van Rust in die projekkodebasis uit te brei en modules geleidelik te vervang met analoë wat in Rust ontwikkel is;
- Die protokoldefinisie-enjin is verbeter om akkuraatheid te verbeter en asinchrone verkeersvloei te hanteer;
- Ondersteuning vir 'n nuwe "anomalie"-inskrywingstipe is by die EVE-logboek gevoeg, wat atipiese gebeurtenisse stoor wat opgespoor is tydens dekodering van pakkies. EVE het ook die vertoning van inligting oor VLAN's en verkeersopname-koppelvlakke uitgebrei. Bygevoeg opsie om alle HTTP-opskrifte in EVE http-loginskrywings te stoor;
- eBPF-gebaseerde hanteerders bied ondersteuning vir hardewaremeganismes vir die versnelling van pakkievaslegging. Hardewareversnelling is tans beperk tot Netronome-netwerkadapters, maar sal binnekort beskikbaar wees vir ander toerusting;
- Die kode vir die vaslegging van verkeer met behulp van die Netmap-raamwerk is herskryf. Die vermoë bygevoeg om gevorderde Netmap-kenmerke soos 'n virtuele skakelaar te gebruik ;
- ondersteuning vir 'n nuwe sleutelwoorddefinisieskema vir Sticky Buffers. Die nuwe skema word gedefinieer in die "protocol.buffer"-formaat, byvoorbeeld, vir die inspeksie van 'n URI, sal die sleutelwoord die vorm "http.uri" in plaas van "http_uri" aanneem;
- Alle Python-kode wat gebruik word, word getoets vir verenigbaarheid met
Python3; - Ondersteuning vir die Tilera-argitektuur, die tekslog dns.log en die ou log files-json.log is gestaak.
Kenmerke van Suricata:
- Gebruik 'n verenigde formaat om skanderingsresultate te vertoon , wat ook deur die Snort-projek gebruik word, wat die gebruik van standaardanalise-instrumente soos . Moontlikheid van integrasie met BASE, Snorby, Sguil en SQueRT produkte. PCAP uitset ondersteuning;
- Ondersteuning vir outomatiese opsporing van protokolle (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ens.), wat jou toelaat om slegs volgens protokoltipe in reëls te werk, sonder verwysing na die poortnommer (byvoorbeeld, blokkeer HTTP verkeer op 'n nie-standaard hawe). Beskikbaarheid van dekodeerders vir HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP en SSH protokolle;
- 'n Kragtige HTTP-verkeeranalisestelsel wat 'n spesiale HTP-biblioteek gebruik wat deur die skrywer van die Mod_Security-projek geskep is om HTTP-verkeer te ontleed en te normaliseer. 'n Module is beskikbaar vir die handhawing van 'n gedetailleerde log van transito HTTP-oordragte; die log word in 'n standaardformaat gestoor
Apache. Die herwinning en kontrolering van lêers wat via HTTP versend is, word ondersteun. Ondersteuning vir die ontleding van saamgeperste inhoud. Vermoë om te identifiseer deur URI, Koekie, opskrifte, gebruiker-agent, versoek / antwoord liggaam; - Ondersteuning vir verskeie koppelvlakke vir verkeersonderskepping, insluitend NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Dit is moontlik om reeds gestoorde lêers in PCAP-formaat te ontleed;
- Hoë werkverrigting, vermoë om vloei tot 10 gigabit/sek op konvensionele toerusting te verwerk.
- Hoëprestasie-maskerpasmeganisme vir groot stelle IP-adresse. Ondersteuning vir die keuse van inhoud deur masker en gereelde uitdrukkings. Isoleer lêers van verkeer, insluitend hul identifikasie volgens naam, tipe of MD5-kontrolesom.
- Vermoë om veranderlikes in reëls te gebruik: jy kan inligting van 'n stroom stoor en dit later in ander reëls gebruik;
- Gebruik van die YAML-formaat in konfigurasielêers, wat jou toelaat om duidelikheid te handhaaf terwyl dit maklik is om te verwerk;
- Volle IPv6-ondersteuning;
- Ingeboude enjin vir outomatiese defragmentering en hersamestelling van pakkies, wat die korrekte verwerking van strome moontlik maak, ongeag die volgorde waarin pakkies aankom;
- Ondersteuning vir tonnelprotokolle: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Pakketdekoderingondersteuning: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Modus vir die aanteken van sleutels en sertifikate wat binne TLS/SSL-verbindings verskyn;
- Die vermoë om skrifte in Lua te skryf om gevorderde analise te verskaf en bykomende vermoëns te implementeer wat nodig is om tipes verkeer te identifiseer waarvoor standaardreëls nie voldoende is nie.
Bron: opennet.ru