Cisco ettevõte Täielikult ümber kujundatud rünnakute ennetamise süsteemi lõplik beetaversioon , tuntud ka kui Snort++ projekt, mille kallal on vahelduvalt tööd tehtud alates 2005. aastast. Väljalaskekandidaat on kavas avaldada selle aasta lõpus.
Uues harus mõeldakse täielikult ümber tootekontseptsioon ja kujundatakse ümber arhitektuur. Valdkondadest, mida uue haru ettevalmistamisel rõhutati, oli Snorti seadistamise ja käivitamise lihtsustamine, konfigureerimise automatiseerimine, reeglite koostamise keele lihtsustamine, kõigi protokollide automaatne tuvastamine, käsust juhtimiseks shelli pakkumine. rida, mitme lõimega aktiivne kasutamine koos erinevate protsessorite jagatud juurdepääsuga ühele konfiguratsioonile.
Rakendatud on järgmised olulised uuendused:
- Tehtud on üleminek uuele konfiguratsioonisüsteemile, mis pakub lihtsustatud süntaksit ja võimaldab kasutada skripte sätete dünaamiliseks genereerimiseks. LuaJIT-i kasutatakse konfiguratsioonifailide töötlemiseks. LuaJIT-il põhinevad pistikprogrammid on varustatud reeglite ja logimissüsteemi lisavõimaluste rakendamisega;
- Rünnakute tuvastamise mootorit on kaasajastatud, reegleid on uuendatud ja lisatud on võimalus siduda reeglites puhvreid (kleepuvad puhvrid). Kasutati otsingumootorit Hyperscan, mis võimaldas kasutada reeglites regulaaravaldiste põhjal kiireid ja täpsemalt käivitatavaid mustreid;
- HTTP jaoks on lisatud uus enesevaatlusrežiim, mis võtab arvesse seansi olekut ja katab 99% testkomplekti toetatud olukordadest . HTTP/2 toetav kood on väljatöötamisel;
- Sügava pakettide kontrollimise režiimi jõudlust on oluliselt paranenud. Lisatud mitme lõimega paketttöötluse võimalus, võimaldades mitme lõime samaaegset täitmist pakettprotsessoritega ja pakkudes lineaarset mastaapsust sõltuvalt protsessori tuumade arvust;
- Realiseeritud on ühtne konfiguratsioonisalvestus ja atribuutide tabelid, mis on jagatud erinevate alamsüsteemide vahel, mis on oluliselt vähendanud mälukulu, välistades info dubleerimise;
- Uus sündmuste logimise süsteem, mis kasutab JSON-vormingut ja on hõlpsasti integreeritav väliste platvormidega, nagu Elastic Stack;
- Üleminek modulaarsele arhitektuurile, võimalus laiendada funktsionaalsust pluginate ühendamise ja peamiste alamsüsteemide juurutamise kaudu asendatavate pluginate kujul. Hetkel on Snort 3 jaoks juurutatud juba mitusada pluginat, mis hõlmavad erinevaid kasutusvaldkondi, võimaldades näiteks lisada reeglitesse oma koodekeid, sisekaemusrežiime, logimismeetodeid, toiminguid ja valikuid;
- Töötavate teenuste automaatne tuvastamine, välistades vajaduse aktiivsete võrguportide käsitsi määramiseks.
Muudatused võrreldes viimase testväljaandega, mis avaldati 2018. aastal:
- Lisatud failide tugi, et vaikekonfiguratsiooniga võrreldes sätteid kiiresti alistada;
- Kood annab võimaluse kasutada C++14 standardis määratletud C++ konstruktsioone (ehitamiseks on vaja kompilaatorit, mis toetab C++14);
- Lisatud uus VXLAN-i töötleja;
- Täiustatud sisutüüpide otsing sisu järgi, kasutades uuendatud alternatiivseid algoritme и ;
- HTTP/2 liiklusjärelevalve süsteem on peaaegu täielikult valmis viidud;
- Käivitamist kiirendab mitme lõime kasutamine reeglirühmade koostamiseks;
- Lisatud uus logimismehhanism;
- Täiustatud Lua vigade tuvastamine ja optimeeritud valged nimekirjad;
- Muudatused on tehtud, et võimaldada seadete käigupealt uuesti laadimist;
- Lisatud on RNA (Real-time Network Awareness) kontrollisüsteem, mis kogub teavet võrgus saadaolevate ressursside, hostide, rakenduste ja teenuste kohta;
- Seadistamise lihtsustamiseks on snort_config.lua ja SNORT_LUA_PATH kasutamine lõpetatud.
Allikas: opennet.ru