پس از یک سال توسعه، سازمان OISF (بنیاد امنیت اطلاعات باز). انتشار سیستم تشخیص نفوذ و جلوگیری از نفوذ شبکه ، که ابزارهایی را برای بازرسی انواع ترافیک فراهم می کند. در پیکربندی های Suricata امکان استفاده وجود دارد ، توسعه یافته توسط پروژه Snort، و همچنین مجموعه ای از قوانین и . منابع پروژه تحت مجوز GPLv2.
تغییرات اصلی:
- پشتیبانی اولیه از HTTP/2.
- پشتیبانی از پروتکل های RFB و MQTT، از جمله توانایی تعریف پروتکل و حفظ گزارش.
- امکان لاگ برای پروتکل DCERPC.
- بهبود قابل توجهی در عملکرد گزارش از طریق زیرسیستم EVE، که خروجی رویداد را در قالب JSON ارائه می دهد. این شتاب به لطف استفاده از یک سازنده سهام جدید JSON که به زبان Rust نوشته شده است به دست آمد.
- مقیاس پذیری سیستم EVE log افزایش یافته و قابلیت نگهداری یک فایل لاگ مجزا برای هر رشته پیاده سازی شده است.
- امکان تعریف شرایط برای بازنشانی اطلاعات به گزارش.
- امکان انعکاس آدرس های MAC در لاگ EVE و افزایش جزئیات گزارش DNS.
- بهبود عملکرد موتور جریان.
- پشتیبانی از شناسایی پیاده سازی SSH ().
- اجرای رسیور تونل ژنو.
- کد پردازش به زبان Rust بازنویسی شده است ، DCERPC و SSH. Rust همچنین از پروتکل های جدید پشتیبانی می کند.
- در زبان تعریف قانون، پشتیبانی از پارامتر from_end به کلمه کلیدی byte_jump و پشتیبانی از پارامتر بیت ماسک به byte_test اضافه شده است. کلمه کلیدی pcrexform را پیاده سازی کرد تا به عبارات منظم (pcre) اجازه استفاده برای گرفتن یک زیر رشته را بدهد. تبدیل urldcode اضافه شد. کلمه کلیدی byte_math اضافه شد.
- امکان استفاده از cbindgen برای تولید پیوندها در زبان های Rust و C را فراهم می کند.
- پشتیبانی اولیه پلاگین اضافه شد.
ویژگی های Suricata:
- استفاده از فرمت یکپارچه برای نمایش نتایج اسکن ، همچنین توسط پروژه Snort استفاده می شود که امکان استفاده از ابزارهای تحلیل استاندارد مانند . امکان ادغام با محصولات BASE، Snorby، Sguil و SQueRT. پشتیبانی از خروجی PCAP؛
- پشتیبانی از تشخیص خودکار پروتکل ها (IP، TCP، UDP، ICMP، HTTP، TLS، FTP، SMB، و غیره)، به شما این امکان را می دهد که در قوانین تنها بر اساس نوع پروتکل، بدون اشاره به شماره پورت (به عنوان مثال، مسدود کردن HTTP) عمل کنید. ترافیک در یک بندر غیر استاندارد). در دسترس بودن رمزگشا برای پروتکل های HTTP، SSL، TLS، SMB، SMB2، DCERPC، SMTP، FTP و SSH.
- یک سیستم قدرتمند تجزیه و تحلیل ترافیک HTTP که از یک کتابخانه HTP ویژه ایجاد شده توسط نویسنده پروژه Mod_Security برای تجزیه و عادی سازی ترافیک HTTP استفاده می کند. یک ماژول برای نگهداری گزارش دقیق از انتقال HTTP حمل و نقل در دسترس است؛ گزارش در قالب استاندارد ذخیره می شود.
آپاچی بازیابی و بررسی فایل های ارسال شده از طریق HTTP پشتیبانی می شود. پشتیبانی از تجزیه محتوای فشرده امکان شناسایی توسط URI، کوکی، هدرها، کاربر-عامل، بدنه درخواست/پاسخ. - پشتیبانی از رابط های مختلف برای رهگیری ترافیک، از جمله NFQueue، IPFRing، LibPcap، IPFW، AF_PACKET، PF_RING. امکان تجزیه و تحلیل فایل های ذخیره شده در قالب PCAP وجود دارد.
- عملکرد بالا، توانایی پردازش جریان تا 10 گیگابیت بر ثانیه در تجهیزات معمولی.
- مکانیزم تطبیق ماسک با کارایی بالا برای مجموعه های بزرگی از آدرس های IP. پشتیبانی از انتخاب محتوا با ماسک و عبارات منظم. جداسازی فایلها از ترافیک، از جمله شناسایی آنها با نام، نوع یا چکسوم MD5.
- امکان استفاده از متغیرها در قوانین: می توانید اطلاعات را از یک جریان ذخیره کنید و بعداً از آن در قوانین دیگر استفاده کنید.
- استفاده از فرمت YAML در فایل های پیکربندی، که به شما امکان می دهد وضوح را حفظ کنید در حالی که پردازش ماشینی آسان است.
- پشتیبانی کامل از IPv6؛
- موتور داخلی برای جداسازی خودکار و مونتاژ مجدد بسته ها که امکان پردازش صحیح جریان ها را بدون توجه به ترتیب رسیدن بسته ها فراهم می کند.
- پشتیبانی از پروتکل های تونل زنی: Teredo، IP-IP، IP6-IP4، IP4-IP6، GRE.
- پشتیبانی از رمزگشایی بسته: IPv4، IPv6، TCP، UDP، SCTP، ICMPv4، ICMPv6، GRE، Ethernet، PPP، PPPoE، Raw، SLL، VLAN.
- حالت ثبت کلیدها و گواهیهایی که در اتصالات TLS/SSL ظاهر میشوند.
- توانایی نوشتن اسکریپت در Lua برای ارائه تجزیه و تحلیل پیشرفته و پیاده سازی قابلیت های اضافی مورد نیاز برای شناسایی انواع ترافیک که قوانین استاندارد برای آنها کافی نیست.
منبع: opennet.ru