Eagraíocht OISF (Fondúireacht Slándála Faisnéise Oscailte) scaoileadh córas braite agus coiscthe cur isteach líonra , a sholáthraíonn uirlisí chun cineálacha éagsúla tráchta a iniúchadh. I bhfoirmíochtaí Suricata is féidir é a úsáid , arna fhorbairt ag an tionscadal Snort, chomh maith le tacair rialacha и . Foinsí tionscadail ceadúnaithe faoi GPLv2.
Athruithe móra:
- Tá modúil nua do pharsáil agus prótacail logála tugtha isteach
RDP, SNMP agus SIP scríofa i Rust. Tá an cumas logáil isteach tríd an bhfochóras EVE curtha leis an modúl parsála FTP, ag soláthar aschur imeachta i bhformáid JSON; - Chomh maith leis an tacaíocht don mhodh aitheantais cliant JA3 TLS a bhí le feiceáil san eisiúint dheireanach, tacaíocht don mhodh , Bunaithe ar shaintréithe idirbheartaíochta nasc agus paraiméadair shonraithe, cinntigh cad iad na bogearraí a úsáidtear chun nasc a bhunú (mar shampla, ceadaíonn sé duit úsáid Tor agus feidhmchláir chaighdeánacha eile a chinneadh). Ligeann JA3 duit cliaint a shainiú, agus ligeann JA3S duit freastalaithe a shainiú. Is féidir torthaí an chinnidh a úsáid sa teanga socraithe rialacha agus i logaí;
- Cumas turgnamhach breise chun samplaí ó thacair mhóra sonraí a mheaitseáil, curtha i bhfeidhm ag baint úsáide as oibríochtaí nua . Mar shampla, tá an ghné infheidhme maidir le maisc a chuardach i liostaí dubha móra ina bhfuil na milliúin iontrálacha;
- Soláthraíonn modh iniúchta HTTP clúdach iomlán ar na cásanna go léir a gcuirtear síos orthu sa tsraith tástála (eg, clúdaíonn sé teicnící a úsáidtear chun gníomhaíocht mhailíseach sa trácht a cheilt);
- Aistríodh uirlisí chun modúil a fhorbairt sa teanga Rust ó roghanna go dtí cumais chaighdeánacha éigeantacha. Sa todhchaí, tá sé beartaithe úsáid Rust a leathnú i mbonn cód an tionscadail agus de réir a chéile a chur in ionad modúil le analógacha a forbraíodh i Rust;
- Feabhsaíodh an t-inneall sainmhínithe prótacail chun cruinneas a fheabhsú agus sreafaí tráchta asincrónacha a láimhseáil;
- Tá tacaíocht do chineál iontrála “aimhrialtacht” nua curtha le loga EVE, a stórálann teagmhais aitíopúla a aimsítear agus paicéid á ndíchódú. Tá EVE tar éis cur le taispeáint faisnéise faoi VLANanna agus comhéadain gabhála tráchta. Rogha breise chun gach ceanntásc HTTP a shábháil in iontrálacha logála EVE http;
- Soláthraíonn láimhseálaithe bunaithe ar eBPF tacaíocht do mheicníochtaí crua-earraí chun gabháil paicéad a luathú. Faoi láthair tá luasghéarú crua-earraí teoranta d'oiriúnóirí líonra Netronome, ach beidh sé ar fáil go luath do threalamh eile;
- Athscríobhadh an cód chun trácht a ghabháil trí úsáid a bhaint as creat Netmap. Cuireadh leis an gcumas ardghnéithe Netmap a úsáid mar lasc fíorúil ;
- tacaíocht do scéim sainmhínithe eochairfhocal nua le haghaidh Maoláin Greamaitheach. Sainmhínítear an scéim nua san fhormáid “protocol.buffer”, mar shampla, chun URI a iniúchadh, beidh an eochairfhocal san fhoirm “http.uri” in ionad “http_uri”;
- Déantar gach cód Python a úsáidtear a thástáil le haghaidh comhoiriúnachta le
Python3; - Cuireadh deireadh leis an tacaíocht d'ailtireacht Tilera, don loga téacs dns.log agus do na seanchomhaid logála-json.log.
Gnéithe de Suricata:
- Formáid aontaithe a úsáid chun torthaí scanadh a thaispeáint , in úsáid freisin ag an tionscadal Snort, a cheadaíonn úsáid a bhaint as uirlisí anailíse caighdeánach ar nós . Féidearthacht comhtháthú le táirgí BASE, Snorby, Sguil agus SQueRT. Tacaíocht aschuir PCAP;
- Tacaíocht chun prótacail a bhrath go huathoibríoch (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), rud a ligeann duit oibriú i rialacha ach amháin de réir cineál prótacail, gan tagairt a dhéanamh don uimhir calafoirt (mar shampla, bloc HTTP trácht ar chalafort neamhchaighdeánach). Infhaighteacht díchódaithe do phrótacail HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP agus SSH;
- Córas cumhachtach anailíse tráchta HTTP a úsáideann leabharlann HTP speisialta cruthaithe ag údar an tionscadail Mod_Security chun trácht HTTP a pharsáil agus a normalú. Tá modúl ar fáil chun loga mionsonraithe aistrithe HTTP idirthurais a choinneáil; sábháltar an loga i bhformáid chaighdeánach
Apache. Tacaítear le comhaid a tharchuirtear trí HTTP a aisghabháil agus a sheiceáil. Tacaíocht chun ábhar comhbhrúite a pharsáil. Cumas aitheantais trí URI, Fianán, ceanntásca, gníomhaire úsáideora, comhlacht iarratais/freagra; - Tacaíocht do chomhéadain éagsúla le haghaidh idircheapadh tráchta, lena n-áirítear NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Is féidir anailís a dhéanamh ar chomhaid atá sábháilte cheana féin i bhformáid PCAP;
- Ardfheidhmíocht, cumas sreafaí suas le 10 ngigabits/soicind a phróiseáil ar ghnáththrealamh.
- Meicníocht meaitseála maisc ardfheidhmíochta do thacair mhóra seoltaí IP. Tacaíocht chun ábhar a roghnú le masc agus nathanna rialta. Comhaid a leithlisiú ón trácht, lena n-áirítear a n-aithint de réir ainm, cineáil nó seiceála MD5.
- Cumas athróga a úsáid i rialacha: is féidir leat faisnéis a shábháil ó shruth agus í a úsáid níos déanaí i rialacha eile;
- Formáid YAML a úsáid i gcomhaid chumraíochta, a ligeann duit soiléireacht a choinneáil agus tú éasca le próiseáil meaisín;
- Tacaíocht IPv6 iomlán;
- Inneall ionsuite chun paicéid a dhí-scaradh agus a athchóimeáil go huathoibríoch, rud a fhágann gur féidir sruthanna a phróiseáil i gceart, beag beann ar an ord ina dtagann na paicéid;
- Tacaíocht do phrótacail tollánaithe: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Tacaíocht díchódaithe paicéad: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Mód le haghaidh logáil eochracha agus teastais atá le feiceáil laistigh de naisc TLS/SSL;
- An cumas chun scripteanna a scríobh in Lua chun ardanailís a sholáthar agus cumais bhreise a chur i bhfeidhm a theastaíonn chun cineálacha tráchta a shainaithint nach leor rialacha caighdeánacha ina leith.
Foinse: oscailtenet.ru