ProHoster > Blog > internet xəbərləri > Suricata 5.0 hücum aşkarlama sistemi mövcuddur

Suricata 5.0 hücum aşkarlama sistemi mövcuddur

Təşkilatı OISF (Açıq İnformasiya Təhlükəsizliyi Fondu) nəşr olundu şəbəkəyə müdaxilənin aşkarlanması və qarşısının alınması sisteminin buraxılması Meerkat 5.0, müxtəlif növ trafikin yoxlanılması üçün alətlər təqdim edir. Suricata konfiqurasiyalarında istifadə etmək mümkündür imza məlumat bazaları, Snort layihəsi tərəfindən hazırlanmış, həmçinin qaydalar toplusu Yaranan Təhdidlər и Emerging Threats Pro. Layihə mənbələri yayılma GPLv2 altında lisenziyalıdır.

Əsas dəyişikliklər:

  • Protokolların təhlili və qeydiyyatı üçün yeni modullar təqdim edilmişdir
    Rust ilə yazılmış RDP, SNMP və SIP. JSON formatında hadisə çıxışını təmin edən FTP təhlil moduluna EVE alt sistemi vasitəsilə daxil olmaq imkanı əlavə edilmişdir;

  • Son buraxılışda görünən JA3 TLS müştəri identifikasiyası metoduna dəstəkdən əlavə, metod üçün dəstək JA3S, imkan verir Bağlantı danışıqlarının xüsusiyyətlərinə və müəyyən edilmiş parametrlərə əsaslanaraq, əlaqə yaratmaq üçün hansı proqram təminatından istifadə olunduğunu müəyyənləşdirin (məsələn, Tor və digər standart proqramların istifadəsini müəyyən etməyə imkan verir). JA3 müştəriləri, JA3S isə serverləri təyin etməyə imkan verir. Müəyyənləşdirmənin nəticələri qayda qurma dilində və jurnallarda istifadə edilə bilər;
  • Yeni əməliyyatlardan istifadə etməklə həyata keçirilən böyük məlumat dəstlərindən nümunələri uyğunlaşdırmaq üçün əlavə eksperimental qabiliyyət dataset və datarep. Məsələn, bu funksiya milyonlarla girişi ehtiva edən böyük qara siyahılarda maskaların axtarışı üçün tətbiq edilir;
  • HTTP yoxlama rejimi test paketində təsvir olunan bütün vəziyyətləri tam əhatə edir HTTP qaçır (məsələn, trafikdə zərərli fəaliyyəti gizlətmək üçün istifadə olunan texnikaları əhatə edir);
  • Rust dilində modulların inkişafı üçün alətlər opsionlardan məcburi standart imkanlara köçürüldü. Gələcəkdə layihənin kod bazasında Rust-dan istifadənin genişləndirilməsi və modulların tədricən Rust-da hazırlanmış analoqlarla əvəz edilməsi planlaşdırılır;
  • Dəqiqliyi təkmilləşdirmək və asinxron trafik axınlarını idarə etmək üçün protokol təyini mühərriki təkmilləşdirilmişdir;
  • Paketlərin dekodlanması zamanı aşkar edilmiş atipik hadisələri saxlayan EVE jurnalına yeni “anomaliya” giriş növü üçün dəstək əlavə edilmişdir. EVE həmçinin VLAN-lar və trafik tutma interfeysləri haqqında məlumatların nümayişini genişləndirdi. EVE http log girişlərində bütün HTTP başlıqlarını saxlamaq üçün seçim əlavə edildi;
  • eBPF-ə əsaslanan işləyicilər paketin tutulmasını sürətləndirmək üçün aparat mexanizmlərinə dəstək verir. Avadanlıq sürətləndirilməsi hazırda Netronome şəbəkə adapterləri ilə məhdudlaşır, lakin tezliklə digər avadanlıqlar üçün əlçatan olacaq;
  • Nemap çərçivəsindən istifadə edərək trafikin tutulması üçün kod yenidən yazılmışdır. Virtual keçid kimi qabaqcıl Nemap xüsusiyyətlərindən istifadə etmək imkanı əlavə edildi VALE;
  • Əlavə edilib Sticky Buffers üçün yeni açar söz tərifi sxemi üçün dəstək. Yeni sxem “protocol.buffer” formatında müəyyən edilib, məsələn, URI-ni yoxlamaq üçün açar söz “http_uri” əvəzinə “http.uri” formasını alacaq;
  • İstifadə olunan bütün Python kodu uyğunluq üçün sınaqdan keçirilir
    Python3;

  • Tilera arxitekturası, mətn jurnalı dns.log və köhnə log files-json.log üçün dəstək dayandırılıb.

Suricatanın xüsusiyyətləri:

  • Skan nəticələrini göstərmək üçün vahid formatdan istifadə Birləşdirilmiş 2kimi standart analiz vasitələrindən istifadə etməyə imkan verən Snort layihəsi tərəfindən də istifadə olunur anbar 2. BASE, Snorby, Sguil və SQueRT məhsulları ilə inteqrasiya imkanı. PCAP çıxış dəstəyi;
  • Protokolların (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB və s.) avtomatik aşkarlanmasına dəstək, port nömrəsinə istinad etmədən (məsələn, HTTP-ni bloklamaq) yalnız protokol növü üzrə qaydalarda işləməyə imkan verir. qeyri-standart limanda trafik). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP və SSH protokolları üçün dekoderlərin mövcudluğu;
  • HTTP trafikini təhlil etmək və normallaşdırmaq üçün Mod_Security layihəsinin müəllifi tərəfindən yaradılmış xüsusi HTP kitabxanasından istifadə edən güclü HTTP trafik təhlili sistemi. Tranzit HTTP köçürmələrinin ətraflı jurnalını saxlamaq üçün modul mövcuddur; jurnal standart formatda saxlanılır
    Apache. HTTP vasitəsilə ötürülən faylların axtarışı və yoxlanılması dəstəklənir. Sıxılmış məzmunun təhlili üçün dəstək. URI, Cookie, başlıqlar, istifadəçi-agent, sorğu/cavab orqanı ilə müəyyən etmək imkanı;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING daxil olmaqla, trafikin qarşısını almaq üçün müxtəlif interfeyslərə dəstək. Artıq saxlanılmış faylları PCAP formatında təhlil etmək mümkündür;
  • Yüksək performans, adi avadanlıqda 10 gigabit/s-ə qədər axınları emal etmək imkanı.
  • Böyük IP ünvanları üçün yüksək performanslı maska ​​uyğunlaşdırma mexanizmi. Maska və müntəzəm ifadələrlə məzmun seçmək üçün dəstək. Faylların ad, növ və ya MD5 yoxlama məbləği ilə identifikasiyası daxil olmaqla, trafikdən təcrid edilməsi.
  • Qaydalarda dəyişənlərdən istifadə etmək bacarığı: siz axındakı məlumatları saxlaya və daha sonra digər qaydalarda istifadə edə bilərsiniz;
  • Konfiqurasiya fayllarında YAML formatının istifadəsi asan emal olunarkən aydınlığı qorumağa imkan verir;
  • Tam IPv6 dəstəyi;
  • Paketlərin gəlmə ardıcıllığından asılı olmayaraq axınların düzgün işlənməsinə imkan verən paketlərin avtomatik defraqmentasiyası və yenidən yığılması üçün quraşdırılmış mühərrik;
  • Tunel protokolları üçün dəstək: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Paketin dekodlanması dəstəyi: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL bağlantılarında görünən açarların və sertifikatların daxil edilməsi rejimi;
  • Qabaqcıl təhlil təmin etmək və standart qaydaların kifayət etmədiyi trafik növlərini müəyyən etmək üçün lazım olan əlavə imkanları həyata keçirmək üçün Lua-da skriptlər yazmaq bacarığı.

    • Mənbə: opennet.ru

Добавить комментарий