После года разработки организация OISF (Open Information Security Foundation) إطلاق نظام كشف التسلل والوقاية في الشبكة ، مما يوفر وسيلة لتفتيش مختلف أنواع حركة المرور. في تكوينات Suricata ، يجوز استخدامه ، تم تطويره بواسطة مشروع Snort ، بالإضافة إلى مجموعة من القواعد и . كود مصدر المشروع مرخص بموجب GPLv2.
التغييرات الرئيسية:
- Начальная поддержка HTTP/2.
- Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
- Возможность ведения лога для протокола DCERPC.
- Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
- Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
- Возможность определения условий для сброса сведений в лог.
- Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
- Повышение производительности движка обработки потоков (flow engine).
- Поддержка идентификации реализаций SSH ().
- Реализация декодировщика туннелей GENEVE.
- На языке Rust переписан код для обработки , DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
- В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
- Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
- Добавлена начальная поддержка плагинов.
ميزات Suricata:
- استخدام تنسيق موحد لعرض نتائج التحقق من الصحة ، يستخدم أيضًا بواسطة مشروع Snort ، مما يسمح باستخدام أدوات التحليل القياسية مثل . القدرة على التكامل مع منتجات BASE و Snorby و Sguil و SQueRT. دعم الإخراج بتنسيق PCAP ؛
- دعم الاكتشاف التلقائي للبروتوكولات (IP ، TCP ، UDP ، ICMP ، HTTP ، TLS ، FTP ، SMB ، إلخ) ، والذي يسمح لك بالعمل في القواعد فقط من خلال نوع البروتوكول ، دون الرجوع إلى رقم المنفذ (على سبيل المثال ، لمنع حركة مرور HTTP على منفذ غير قياسي). أجهزة فك التشفير لبروتوكولات HTTP و SSL و TLS و SMB و SMB2 و DCERPC و SMTP و FTP و SSH ؛
- نظام تحليل حركة مرور HTTP قوي يستخدم مكتبة HTP خاصة أنشأها مؤلف مشروع Mod_Security لتحليل وتطبيع حركة مرور HTTP. تتوفر وحدة نمطية للاحتفاظ بسجل مفصل لعمليات نقل HTTP العابر ، ويتم حفظ السجل بتنسيق قياسي
اباتشي. يتم دعم استخراج والتحقق من الملفات المنقولة عبر بروتوكول HTTP. دعم لتحليل المحتوى المضغوط. القدرة على التحديد عن طريق URI ، ملف تعريف الارتباط ، الرؤوس ، وكيل المستخدم ، هيئة الطلب / الاستجابة ؛ - دعم واجهات مختلفة لاعتراض حركة المرور ، بما في ذلك NFQueue و IPFRing و LibPcap و IPFW و AF_PACKET و PF_RING. من الممكن تحليل الملفات المحفوظة بالفعل بتنسيق PCAP ؛
- أداء عالي ، والقدرة على معالجة تدفقات تصل إلى 10 جيجابت / ثانية على المعدات التقليدية.
- قناع عالي الأداء يطابق المحرك مع مجموعات كبيرة من عناوين IP. دعم اختيار المحتوى عن طريق القناع والتعبيرات العادية. فصل الملفات عن حركة المرور ، بما في ذلك تحديدها بالاسم أو النوع أو المجموع الاختباري MD5.
- القدرة على استخدام المتغيرات في القواعد: يمكنك حفظ المعلومات من الدفق واستخدامها لاحقًا في قواعد أخرى ؛
- استخدام تنسيق YAML في ملفات التكوين ، مما يسمح لك بالحفاظ على الرؤية مع سهولة معالجة الجهاز ؛
- دعم IPv6 الكامل ؛
- محرك مدمج لإلغاء التجزئة التلقائي وإعادة تجميع الحزم ، مما يسمح بضمان المعالجة الصحيحة للتدفقات ، بغض النظر عن ترتيب وصول الحزم ؛
- دعم بروتوكولات الأنفاق: Teredo و IP-IP و IP6-IP4 و IP4-IP6 و GRE ؛
- دعم فك تشفير الحزمة: IPv4 ، IPv6 ، TCP ، UDP ، SCTP ، ICMPv4 ، ICMPv6 ، GRE ، Ethernet ، PPP ، PPPoE ، Raw ، SLL ، VLAN ؛
- وضع التسجيل للمفاتيح والشهادات التي تظهر داخل اتصالات TLS / SSL ؛
- القدرة على كتابة نصوص Lua لتوفير تحليل متقدم وتنفيذ الميزات الإضافية اللازمة لتحديد أنواع حركة المرور التي لا تكفي القواعد القياسية لها.
المصدر: opennet.ru