ProHoster > Blog > naidheachdan eadar-lìn > Sgaoileadh siostam lorg sàrachaidh Suricata 6.0

Sgaoileadh siostam lorg sàrachaidh Suricata 6.0

Às deidh bliadhna de leasachadh, chaidh a’ bhuidheann OISF (Open Information Security Foundation). foillsichte sgaoileadh siostam lorg agus casg sàrachadh lìonra Meerkat 6.0, a bheir seachad innealan airson diofar sheòrsaichean trafaic a sgrùdadh. Ann an rèiteachaidhean Suricata tha e comasach a chleachdadh stòran-dàta ainmean-sgrìobhte, air a leasachadh le pròiseact Snort, a bharrachd air seataichean de riaghailtean Cunnartan a’ tighinn am bàrr и Cunnartan a tha a’ tighinn am bàrr Pro. Stòran pròiseict sgaoileadh le cead fo GPLv2.

Atharraichean mòra:

  • Taic tùsail airson HTTP/2.
  • Taic airson protocolaidhean RFB agus MQTT, a’ toirt a-steach comas am protocol a mhìneachadh agus log a chumail.
  • Comasach air logadh a-steach airson protocol DCERPC.
  • Leasachadh mòr ann an coileanadh logaidh tro fho-shiostam EVE, a bheir seachad toradh tachartais ann an cruth JSON. Chaidh an luathachadh a choileanadh mar thoradh air cleachdadh neach-togail stoc JSON ùr sgrìobhte ann an cànan Rust.
  • Chaidh scalability siostam log EVE a mheudachadh agus chaidh an comas faidhle log air leth a chumail airson gach snàithlean a chuir an gnìomh.
  • Comas air suidheachaidhean a mhìneachadh airson fiosrachadh ath-shuidheachadh don log.
  • Comasach air seòlaidhean MAC a nochdadh ann an log EVE agus àrdachadh mion-fhiosrachadh mun log DNS.
  • Leasachadh air coileanadh an t-einnsean sruth.
  • Taic airson buileachadh SSH a chomharrachadh (HASSH).
  • Cur an gnìomh decoder tunail GENEVE.
  • Chaidh an còd airson giullachd ath-sgrìobhadh sa chànan Rust ASN.1, DCERPC agus SSH. Bidh Rust cuideachd a’ toirt taic do phròtacalan ùra.
  • Anns a 'chànan mìneachadh riaghailt, chaidh taic airson paramadair from_end a chur ris a' phrìomh fhacal byte_jump, agus chaidh taic airson paramadair bitmask a chur ri byte_test. Chuir sinn am prìomh fhacal pcrexform an gnìomh gus leigeil le abairtean cunbhalach (pcre) a chleachdadh gus fo-thalamh a ghlacadh. Tionndadh urldecode air a chur ris. Prìomh fhacal byte_math air a chur ris.
  • A’ toirt seachad comas cbindgen a chleachdadh gus ceanglachan a ghineadh ann an cànanan Rust agus C.
  • Chaidh taic plugan tùsail a chur ris.

Feartan Suricata:

  • A’ cleachdadh cruth aonaichte gus toraidhean scan a thaisbeanadh aonaichte 2, cuideachd air a chleachdadh leis a’ phròiseact Snort, a leigeas le bhith a’ cleachdadh innealan sgrùdaidh àbhaisteach leithid sabhal 2. Comasach air aonachadh le toraidhean BASE, Snorby, Sguil agus SQueRT. Taic toraidh PCAP;
  • Taic airson lorg fèin-ghluasadach de phròtacalan (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, msaa), a’ toirt cothrom dhut obrachadh ann an riaghailtean a-mhàin a rèir seòrsa protocol, gun iomradh a thoirt air àireamh a’ phuirt (mar eisimpleir, bacadh HTTP trafaic air port neo-àbhaisteach). Cothroman decoders airson protocolaidhean HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP agus SSH;
  • Siostam sgrùdaidh trafaic HTTP cumhachdach a bhios a’ cleachdadh leabharlann HTP sònraichte a chruthaich ùghdar a’ phròiseict Mod_Security gus trafaic HTTP a pharsadh agus a dhèanamh àbhaisteach. Tha modal ri fhaighinn airson log mionaideach a chumail de ghluasadan gluasaid HTTP; tha an log air a shàbhaladh ann an cruth àbhaisteach
    Apache. Thathas a’ toirt taic do bhith a’ faighinn air ais agus a’ sgrùdadh fhaidhlichean a chaidh a ghluasad tro HTTP. Taic airson a bhith a’ parsadh susbaint teann. Comas aithneachadh le URI, Cookie, cinn-cinn, neach-cleachdaidh, buidheann iarrtas / freagairt;

  • Taic airson diofar eadar-aghaidh airson eadar-ghabhail trafaic, a’ gabhail a-steach NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Tha e comasach mion-sgrùdadh a dhèanamh air faidhlichean a chaidh a shàbhaladh mar-thà ann an cruth PCAP;
  • Àrd-choileanadh, comas pròiseasadh suas ri 10 gigabits / diog air uidheamachd àbhaisteach.
  • Uidheam maidsidh masg àrd-choileanadh airson seataichean mòra de sheòlaidhean IP. Taic airson taghadh susbaint le masg agus abairtean cunbhalach. A’ dealachadh fhaidhlichean bho thrafaig, a’ gabhail a-steach an comharrachadh le ainm, seòrsa no checksum MD5.
  • Comas caochladairean a chleachdadh ann an riaghailtean: faodaidh tu fiosrachadh a shàbhaladh bho shruth agus an uairsin a chleachdadh ann an riaghailtean eile;
  • Cleachdadh cruth YAML ann am faidhlichean rèiteachaidh, a leigeas leat soilleireachd a chumail fhad ‘s a tha e furasta do phròiseas inneal;
  • Taic iomlan IPv6;
  • Einnsean togte airson defragmentation fèin-ghluasadach agus ath-chruinneachadh phasganan, a’ ceadachadh sruthan a ghiullachd gu ceart, ge bith dè an òrdugh anns an ruig na pacaidean;
  • Taic airson protocolaidhean tunail: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Taic dì-chòdachadh pacaid: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modh airson iuchraichean logaidh agus teisteanasan a’ nochdadh taobh a-staigh ceanglaichean TLS/SSL;
  • Comas sgriobtaichean a sgrìobhadh ann an Lua gus mion-sgrùdadh adhartach a thoirt seachad agus comasan a bharrachd a chuir an gnìomh a dh’ fheumar gus seòrsaichean trafaic a chomharrachadh far nach eil riaghailtean àbhaisteach gu leòr.

Source: fosgailtenet.ru

Cuir beachd ann