ProHoster > Blog > naidheachdan eadar-lìn > Siostam lorg ionnsaigh Suricata 5.0 ri fhaighinn

Siostam lorg ionnsaigh Suricata 5.0 ri fhaighinn

Buidheann OISF (Bunait Tèarainteachd Fiosrachaidh Fosgailte) foillsichte sgaoileadh siostam lorg agus casg sàrachadh lìonra Meerkat 5.0, a bheir seachad innealan airson diofar sheòrsaichean trafaic a sgrùdadh. Ann an rèiteachaidhean Suricata tha e comasach a chleachdadh stòran-dàta ainmean-sgrìobhte, air a leasachadh le pròiseact Snort, a bharrachd air seataichean de riaghailtean Cunnartan a’ tighinn am bàrr и Cunnartan a tha a’ tighinn am bàrr Pro. Stòran pròiseict sgaoileadh le cead fo GPLv2.

Atharraichean mòra:

  • Chaidh modalan ùra airson parsadh agus protocolaidhean logaidh a thoirt a-steach
    RDP, SNMP agus SIP sgrìobhte ann an Rust. Chaidh an comas logadh a-steach tro fho-shiostam EVE a chuir ris a’ mhodal parsaidh FTP, a’ toirt seachad toradh tachartais ann an cruth JSON;

  • A bharrachd air an taic airson modh aithneachaidh teachdaiche JA3 TLS a nochd san fhoillseachadh mu dheireadh, taic don dòigh JA3S, a' ceadachadh Stèidhichte air feartan co-rèiteachadh ceangail agus crìochan sònraichte, dèan cinnteach dè am bathar-bog a thathas a ’cleachdadh gus ceangal a stèidheachadh (mar eisimpleir, leigidh e leat cleachdadh Tor agus tagraidhean àbhaisteach eile a dhearbhadh). Leigidh JA3 leat teachdaichean a mhìneachadh, agus leigidh JA3S leat frithealaichean a mhìneachadh. Faodar toraidhean a’ cho-dhùnaidh a chleachdadh anns a’ chànan suidheachadh riaghailtean agus ann an logaichean;
  • Comas deuchainneach a bharrachd gus sampallan bho sheataichean dàta mòra a mhaidseadh, air a chuir an gnìomh a’ cleachdadh gnìomhachd ùr dàta agus dàta. Mar eisimpleir, tha am feart iomchaidh airson a bhith a’ lorg masgaichean ann an liostaichean dubha mòra anns a bheil milleanan de dh’ inntrigidhean;
  • Tha modh sgrùdaidh HTTP a’ toirt làn chòmhdach air a h-uile suidheachadh a tha air a mhìneachadh san t-sreath deuchainn HTTP Evader (me, a’ còmhdach dhòighean a chleachdar gus gnìomhachd droch-rùnach ann an trafaic a shealg);
  • Chaidh innealan airson modalan a leasachadh anns a’ chànan Rust a ghluasad bho roghainnean gu comasan àbhaisteach èigneachail. Anns an àm ri teachd, thathas an dùil cleachdadh Rust a leudachadh ann am bunait còd a ’phròiseict agus mean air mhean cuir an àite mhodalan le analogues a chaidh a leasachadh ann an Rust;
  • Chaidh an einnsean mìneachadh protocol a leasachadh gus cruinneas a leasachadh agus sruthan trafaic asyncronach a làimhseachadh;
  • Chaidh taic airson seòrsa inntrigidh “neo-riaghailteachd” ùr a chuir ri log EVE, a bhios a’ stòradh tachartasan neo-àbhaisteach a chaidh an lorg nuair a chaidh pacaidean a chòdachadh. Tha EVE cuideachd air taisbeanadh fiosrachaidh mu VLANn agus eadar-aghaidh glacaidh trafaic a leudachadh. Roghainn a bharrachd gus a h-uile bann-cinn HTTP a shàbhaladh ann an inntrigidhean log EVE http;
  • Bidh luchd-làimhseachaidh stèidhichte air eBPF a’ toirt taic do uidheamachdan bathar-cruaidh airson glacadh pacaidean a luathachadh. Tha luathachadh bathar-cruaidh an-dràsta cuingealaichte ri innealan-atharrachaidh lìonra Netronome, ach a dh’ aithghearr bidh e ri fhaighinn airson uidheamachd eile;
  • Chaidh an còd airson trafaic a ghlacadh a’ cleachdadh frèam Netmap ath-sgrìobhadh. Chuir sinn ris a’ chomas air feartan adhartach Netmap a chleachdadh leithid tionndadh brìgheil Vale;
  • Air a chur ris taic airson sgeama mìneachadh prìomh fhacal ùr airson Sticky Buffers. Tha an sgeama ùr air a mhìneachadh ann an cruth “protocol.buffer”, mar eisimpleir, airson sgrùdadh a dhèanamh air URI, bidh am prìomh fhacal mar “http.uri” an àite “http_uri”;
  • Tha a h-uile còd Python air a dhearbhadh airson co-chòrdalachd le
    Python 3;

  • Chaidh stad a chuir air taic airson ailtireachd Tilera, an log teacsa dns.log agus na seann fhaidhlichean log-json.log.

Feartan Suricata:

  • A’ cleachdadh cruth aonaichte gus toraidhean scan a thaisbeanadh aonaichte 2, cuideachd air a chleachdadh leis a’ phròiseact Snort, a leigeas le bhith a’ cleachdadh innealan sgrùdaidh àbhaisteach leithid sabhal 2. Comasach air aonachadh le toraidhean BASE, Snorby, Sguil agus SQueRT. Taic toraidh PCAP;
  • Taic airson lorg fèin-ghluasadach de phròtacalan (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, msaa), a’ toirt cothrom dhut obrachadh ann an riaghailtean a-mhàin a rèir seòrsa protocol, gun iomradh a thoirt air àireamh a’ phuirt (mar eisimpleir, bacadh HTTP trafaic air port neo-àbhaisteach). Cothroman decoders airson protocolaidhean HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP agus SSH;
  • Siostam sgrùdaidh trafaic HTTP cumhachdach a bhios a’ cleachdadh leabharlann HTP sònraichte a chruthaich ùghdar a’ phròiseict Mod_Security gus trafaic HTTP a pharsadh agus a dhèanamh àbhaisteach. Tha modal ri fhaighinn airson log mionaideach a chumail de ghluasadan gluasaid HTTP; tha an log air a shàbhaladh ann an cruth àbhaisteach
    Apache. Thathas a’ toirt taic do bhith a’ faighinn air ais agus a’ sgrùdadh fhaidhlichean a chaidh a ghluasad tro HTTP. Taic airson a bhith a’ parsadh susbaint teann. Comas aithneachadh le URI, Cookie, cinn-cinn, neach-cleachdaidh, buidheann iarrtas / freagairt;

  • Taic airson diofar eadar-aghaidh airson eadar-ghabhail trafaic, a’ gabhail a-steach NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Tha e comasach mion-sgrùdadh a dhèanamh air faidhlichean a chaidh a shàbhaladh mar-thà ann an cruth PCAP;
  • Àrd-choileanadh, comas pròiseasadh suas ri 10 gigabits / diog air uidheamachd àbhaisteach.
  • Uidheam maidsidh masg àrd-choileanadh airson seataichean mòra de sheòlaidhean IP. Taic airson taghadh susbaint le masg agus abairtean cunbhalach. A’ dealachadh fhaidhlichean bho thrafaig, a’ gabhail a-steach an comharrachadh le ainm, seòrsa no checksum MD5.
  • Comas caochladairean a chleachdadh ann an riaghailtean: faodaidh tu fiosrachadh a shàbhaladh bho shruth agus an uairsin a chleachdadh ann an riaghailtean eile;
  • Cleachdadh cruth YAML ann am faidhlichean rèiteachaidh, a leigeas leat soilleireachd a chumail fhad ‘s a tha e furasta do phròiseas inneal;
  • Taic iomlan IPv6;
  • Einnsean togte airson defragmentation fèin-ghluasadach agus ath-chruinneachadh phasganan, a’ ceadachadh sruthan a ghiullachd gu ceart, ge bith dè an òrdugh anns an ruig na pacaidean;
  • Taic airson protocolaidhean tunail: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Taic dì-chòdachadh pacaid: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modh airson iuchraichean logaidh agus teisteanasan a’ nochdadh taobh a-staigh ceanglaichean TLS/SSL;
  • Comas sgriobtaichean a sgrìobhadh ann an Lua gus mion-sgrùdadh adhartach a thoirt seachad agus comasan a bharrachd a chuir an gnìomh a dh’ fheumar gus seòrsaichean trafaic a chomharrachadh far nach eil riaghailtean àbhaisteach gu leòr.

    • Source: fosgailtenet.ru

Cuir beachd ann