ProHoster > blog > newyddion rhyngrwyd > System canfod ymosodiad Suricata 5.0 ar gael

System canfod ymosodiad Suricata 5.0 ar gael

Sefydliad OISF (Sefydliad Diogelwch Gwybodaeth Agored) cyhoeddi rhyddhau system canfod ac atal ymyrraeth rhwydwaith Meerkat 5.0, sy'n darparu offer ar gyfer archwilio gwahanol fathau o draffig. Mewn ffurfweddiadau Suricata mae'n bosibl eu defnyddio cronfeydd data llofnod, a ddatblygwyd gan brosiect Snort, yn ogystal â setiau o reolau Bygythiadau sy'n Dod i'r Amlwg и Bygythiadau sy'n Dod i'r Amlwg Pro. Ffynonellau prosiect lledaenu trwyddedig o dan GPLv2.

Newidiadau mawr:

  • Mae modiwlau newydd ar gyfer protocolau dosrannu a logio wedi'u cyflwyno
    RDP, SNMP a SIP wedi'u hysgrifennu yn Rust. Mae'r gallu i logio trwy'r is-system EVE wedi'i ychwanegu at y modiwl dosrannu FTP, gan ddarparu allbwn digwyddiad ar ffurf JSON;

  • Yn ogystal â'r gefnogaeth ar gyfer y dull adnabod cleient JA3 TLS a ymddangosodd yn y datganiad diwethaf, cefnogaeth i'r dull JA3S, caniatáu Yn seiliedig ar nodweddion trafod cysylltiad a pharamedrau penodedig, penderfynwch pa feddalwedd a ddefnyddir i sefydlu cysylltiad (er enghraifft, mae'n caniatáu ichi bennu'r defnydd o Tor a chymwysiadau safonol eraill). Mae JA3 yn caniatáu ichi ddiffinio cleientiaid, ac mae JA3S yn caniatáu ichi ddiffinio gweinyddwyr. Gellir defnyddio canlyniadau'r penderfyniad yn yr iaith gosod rheolau ac mewn logiau;
  • Ychwanegwyd gallu arbrofol i baru samplau o setiau data mawr, wedi'u gweithredu gan ddefnyddio gweithrediadau newydd set ddata a chynrychiolydd data. Er enghraifft, mae'r nodwedd yn berthnasol i chwilio am fasgiau mewn rhestrau du mawr sy'n cynnwys miliynau o gofnodion;
  • Mae modd arolygu HTTP yn rhoi sylw llawn i'r holl sefyllfaoedd a ddisgrifir yn y gyfres brawf HTTP Evader (ee, yn ymdrin â thechnegau a ddefnyddir i guddio gweithgaredd maleisus mewn traffig);
  • Mae offer ar gyfer datblygu modiwlau yn yr iaith Rust wedi'u trosglwyddo o opsiynau i alluoedd safonol gorfodol. Yn y dyfodol, bwriedir ehangu'r defnydd o Rust yn sylfaen cod y prosiect a disodli modiwlau yn raddol gyda analogau a ddatblygwyd yn Rust;
  • Mae'r injan diffiniad protocol wedi'i wella i wella cywirdeb a thrin llif traffig asyncronig;
  • Mae cefnogaeth ar gyfer math mynediad “anomaledd” newydd wedi'i ychwanegu at y log EVE, sy'n storio digwyddiadau annodweddiadol a ganfyddir wrth ddadgodio pecynnau. Mae EVE hefyd wedi ehangu arddangosiad gwybodaeth am VLANs a rhyngwynebau dal traffig. Opsiwn ychwanegol i arbed pob penawd HTTP mewn cofnodion log EVE http;
  • Mae trinwyr eBPF yn darparu cefnogaeth ar gyfer mecanweithiau caledwedd ar gyfer cyflymu cipio pecynnau. Ar hyn o bryd mae cyflymiad caledwedd wedi'i gyfyngu i addaswyr rhwydwaith Netronome, ond bydd ar gael yn fuan ar gyfer offer arall;
  • Mae'r cod ar gyfer dal traffig gan ddefnyddio fframwaith Netmap wedi'i ailysgrifennu. Ychwanegwyd y gallu i ddefnyddio nodweddion Netmap datblygedig fel switsh rhithwir VALE;
  • Wedi adio cefnogaeth i gynllun diffinio allweddair newydd ar gyfer Sticky Buffers. Diffinnir y cynllun newydd yn y fformat “protocol.buffer”, er enghraifft, ar gyfer archwilio URI, bydd yr allweddair ar ffurf “http.uri” yn lle “http_uri”;
  • Mae pob cod Python a ddefnyddir yn cael ei brofi i weld a yw'n gydnaws â
    Python3;

  • Mae cefnogaeth i bensaernïaeth Tilera, y log testun dns.log a'r hen ffeiliau log-json.log wedi dod i ben.

Nodweddion Suricata:

  • Defnyddio fformat unedig i arddangos canlyniadau sgan Unedig2, a ddefnyddir hefyd gan y prosiect Snort, sy'n caniatáu defnyddio offer dadansoddi safonol megis buarth 2. Posibilrwydd o integreiddio gyda chynhyrchion BASE, Snorby, Sguil a SQueRT. Cefnogaeth allbwn PCAP;
  • Cefnogaeth ar gyfer canfod protocolau yn awtomatig (IP, TCP, CDU, ICMP, HTTP, TLS, FTP, SMB, ac ati), sy'n eich galluogi i weithredu mewn rheolau yn ôl math o brotocol yn unig, heb gyfeirio at rif y porthladd (er enghraifft, bloc HTTP traffig ar borthladd ansafonol) . Argaeledd datgodyddion ar gyfer protocolau HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP a SSH;
  • System dadansoddi traffig pwerus HTTP sy'n defnyddio llyfrgell HTP arbennig a grëwyd gan awdur y prosiect Mod_Security i ddosrannu a normaleiddio traffig HTTP. Mae modiwl ar gael ar gyfer cynnal log manwl o drosglwyddiadau tramwy HTTP; mae'r log yn cael ei gadw mewn fformat safonol
    Apache. Cefnogir adfer a gwirio ffeiliau a drosglwyddir trwy HTTP. Cefnogaeth ar gyfer dosrannu cynnwys cywasgedig. Y gallu i adnabod trwy URI, Cwci, penawdau, asiant defnyddiwr, corff cais/ymateb;

  • Cefnogaeth i ryngwynebau amrywiol ar gyfer rhyng-gipio traffig, gan gynnwys NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Mae'n bosibl dadansoddi ffeiliau sydd eisoes wedi'u cadw mewn fformat PCAP;
  • Perfformiad uchel, y gallu i brosesu llifau hyd at 10 gigabits yr eiliad ar offer confensiynol.
  • Mecanwaith paru masgiau perfformiad uchel ar gyfer setiau mawr o gyfeiriadau IP. Cefnogaeth ar gyfer dewis cynnwys yn ôl mwgwd ac ymadroddion rheolaidd. Ynysu ffeiliau rhag traffig, gan gynnwys eu hadnabod yn ôl enw, math neu wiriad MD5.
  • Y gallu i ddefnyddio newidynnau mewn rheolau: gallwch arbed gwybodaeth o ffrwd a'i defnyddio'n ddiweddarach mewn rheolau eraill;
  • Defnyddio fformat YAML mewn ffeiliau ffurfweddu, sy'n eich galluogi i gadw eglurder tra'n hawdd i'w prosesu â pheiriant;
  • Cefnogaeth IPv6 lawn;
  • Peiriant adeiledig ar gyfer dad-ddarnio'n awtomatig ac ail-gydosod pecynnau, gan ganiatáu ar gyfer prosesu ffrydiau'n gywir, waeth ym mha drefn y mae pecynnau'n cyrraedd;
  • Cefnogaeth ar gyfer protocolau twnelu: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Cefnogaeth datgodio pecyn: IPv4, IPv6, TCP, CDU, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modd ar gyfer logio allweddi a thystysgrifau sy'n ymddangos o fewn cysylltiadau TLS/SSL;
  • Y gallu i ysgrifennu sgriptiau yn Lua i ddarparu dadansoddiad uwch a gweithredu galluoedd ychwanegol sydd eu hangen i nodi mathau o draffig nad yw rheolau safonol yn ddigonol ar eu cyfer.

    • Ffynhonnell: opennet.ru

Ychwanegu sylw