Sefydliad OISF (Sefydliad Diogelwch Gwybodaeth Agored) cyhoeddi rhyddhau system canfod ac atal ymyrraeth rhwydwaith Meerkat 5.0, sy'n darparu offer ar gyfer archwilio gwahanol fathau o draffig. Mewn ffurfweddiadau Suricata mae'n bosibl eu defnyddio cronfeydd data llofnod, a ddatblygwyd gan brosiect Snort, yn ogystal â setiau o reolau Bygythiadau sy'n Dod i'r Amlwg и Bygythiadau sy'n Dod i'r Amlwg Pro. Ffynonellau prosiect lledaenu trwyddedig o dan GPLv2.
Newidiadau mawr:
Mae modiwlau newydd ar gyfer protocolau dosrannu a logio wedi'u cyflwyno
RDP, SNMP a SIP wedi'u hysgrifennu yn Rust. Mae'r gallu i logio trwy'r is-system EVE wedi'i ychwanegu at y modiwl dosrannu FTP, gan ddarparu allbwn digwyddiad ar ffurf JSON;
Yn ogystal â'r gefnogaeth ar gyfer y dull adnabod cleient JA3 TLS a ymddangosodd yn y datganiad diwethaf, cefnogaeth i'r dull JA3S, caniatáu Yn seiliedig ar nodweddion trafod cysylltiad a pharamedrau penodedig, penderfynwch pa feddalwedd a ddefnyddir i sefydlu cysylltiad (er enghraifft, mae'n caniatáu ichi bennu'r defnydd o Tor a chymwysiadau safonol eraill). Mae JA3 yn caniatáu ichi ddiffinio cleientiaid, ac mae JA3S yn caniatáu ichi ddiffinio gweinyddwyr. Gellir defnyddio canlyniadau'r penderfyniad yn yr iaith gosod rheolau ac mewn logiau;
Ychwanegwyd gallu arbrofol i baru samplau o setiau data mawr, wedi'u gweithredu gan ddefnyddio gweithrediadau newydd set ddata a chynrychiolydd data. Er enghraifft, mae'r nodwedd yn berthnasol i chwilio am fasgiau mewn rhestrau du mawr sy'n cynnwys miliynau o gofnodion;
Mae modd arolygu HTTP yn rhoi sylw llawn i'r holl sefyllfaoedd a ddisgrifir yn y gyfres brawf HTTP Evader (ee, yn ymdrin â thechnegau a ddefnyddir i guddio gweithgaredd maleisus mewn traffig);
Mae offer ar gyfer datblygu modiwlau yn yr iaith Rust wedi'u trosglwyddo o opsiynau i alluoedd safonol gorfodol. Yn y dyfodol, bwriedir ehangu'r defnydd o Rust yn sylfaen cod y prosiect a disodli modiwlau yn raddol gyda analogau a ddatblygwyd yn Rust;
Mae'r injan diffiniad protocol wedi'i wella i wella cywirdeb a thrin llif traffig asyncronig;
Mae cefnogaeth ar gyfer math mynediad “anomaledd” newydd wedi'i ychwanegu at y log EVE, sy'n storio digwyddiadau annodweddiadol a ganfyddir wrth ddadgodio pecynnau. Mae EVE hefyd wedi ehangu arddangosiad gwybodaeth am VLANs a rhyngwynebau dal traffig. Opsiwn ychwanegol i arbed pob penawd HTTP mewn cofnodion log EVE http;
Mae trinwyr eBPF yn darparu cefnogaeth ar gyfer mecanweithiau caledwedd ar gyfer cyflymu cipio pecynnau. Ar hyn o bryd mae cyflymiad caledwedd wedi'i gyfyngu i addaswyr rhwydwaith Netronome, ond bydd ar gael yn fuan ar gyfer offer arall;
Mae'r cod ar gyfer dal traffig gan ddefnyddio fframwaith Netmap wedi'i ailysgrifennu. Ychwanegwyd y gallu i ddefnyddio nodweddion Netmap datblygedig fel switsh rhithwir VALE;
Wedi adio cefnogaeth i gynllun diffinio allweddair newydd ar gyfer Sticky Buffers. Diffinnir y cynllun newydd yn y fformat “protocol.buffer”, er enghraifft, ar gyfer archwilio URI, bydd yr allweddair ar ffurf “http.uri” yn lle “http_uri”;
Mae pob cod Python a ddefnyddir yn cael ei brofi i weld a yw'n gydnaws â
Python3;
Mae cefnogaeth i bensaernïaeth Tilera, y log testun dns.log a'r hen ffeiliau log-json.log wedi dod i ben.
Nodweddion Suricata:
Defnyddio fformat unedig i arddangos canlyniadau sgan Unedig2, a ddefnyddir hefyd gan y prosiect Snort, sy'n caniatáu defnyddio offer dadansoddi safonol megis buarth 2. Posibilrwydd o integreiddio gyda chynhyrchion BASE, Snorby, Sguil a SQueRT. Cefnogaeth allbwn PCAP;
Cefnogaeth ar gyfer canfod protocolau yn awtomatig (IP, TCP, CDU, ICMP, HTTP, TLS, FTP, SMB, ac ati), sy'n eich galluogi i weithredu mewn rheolau yn ôl math o brotocol yn unig, heb gyfeirio at rif y porthladd (er enghraifft, bloc HTTP traffig ar borthladd ansafonol) . Argaeledd datgodyddion ar gyfer protocolau HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP a SSH;
System dadansoddi traffig pwerus HTTP sy'n defnyddio llyfrgell HTP arbennig a grëwyd gan awdur y prosiect Mod_Security i ddosrannu a normaleiddio traffig HTTP. Mae modiwl ar gael ar gyfer cynnal log manwl o drosglwyddiadau tramwy HTTP; mae'r log yn cael ei gadw mewn fformat safonol
Apache. Cefnogir adfer a gwirio ffeiliau a drosglwyddir trwy HTTP. Cefnogaeth ar gyfer dosrannu cynnwys cywasgedig. Y gallu i adnabod trwy URI, Cwci, penawdau, asiant defnyddiwr, corff cais/ymateb;
Cefnogaeth i ryngwynebau amrywiol ar gyfer rhyng-gipio traffig, gan gynnwys NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Mae'n bosibl dadansoddi ffeiliau sydd eisoes wedi'u cadw mewn fformat PCAP;
Perfformiad uchel, y gallu i brosesu llifau hyd at 10 gigabits yr eiliad ar offer confensiynol.
Mecanwaith paru masgiau perfformiad uchel ar gyfer setiau mawr o gyfeiriadau IP. Cefnogaeth ar gyfer dewis cynnwys yn ôl mwgwd ac ymadroddion rheolaidd. Ynysu ffeiliau rhag traffig, gan gynnwys eu hadnabod yn ôl enw, math neu wiriad MD5.
Y gallu i ddefnyddio newidynnau mewn rheolau: gallwch arbed gwybodaeth o ffrwd a'i defnyddio'n ddiweddarach mewn rheolau eraill;
Defnyddio fformat YAML mewn ffeiliau ffurfweddu, sy'n eich galluogi i gadw eglurder tra'n hawdd i'w prosesu â pheiriant;
Cefnogaeth IPv6 lawn;
Peiriant adeiledig ar gyfer dad-ddarnio'n awtomatig ac ail-gydosod pecynnau, gan ganiatáu ar gyfer prosesu ffrydiau'n gywir, waeth ym mha drefn y mae pecynnau'n cyrraedd;
Cefnogaeth ar gyfer protocolau twnelu: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
Modd ar gyfer logio allweddi a thystysgrifau sy'n ymddangos o fewn cysylltiadau TLS/SSL;
Y gallu i ysgrifennu sgriptiau yn Lua i ddarparu dadansoddiad uwch a gweithredu galluoedd ychwanegol sydd eu hangen i nodi mathau o draffig nad yw rheolau safonol yn ddigonol ar eu cyfer.