Hui OISF (Open Information Security Foundation) ka hoʻokuʻu ʻana o ka ʻike intrusion pūnaewele a me ka ʻōnaehana pale , e hāʻawi ana i nā mea hana no ka nānā ʻana i nā ʻano kaʻa like ʻole. Ma Suricata hoʻonohonoho hiki ke hoʻohana , hoʻomohala ʻia e ka papahana Snort, a me nā pūʻulu o nā lula и . Nā kumu papahana laikini ma lalo o GPLv2.
Nā hoʻololi nui:
- Ua hoʻokomo ʻia nā modula hou no ka parsing a me ka logging protocols
RDP, SNMP a me SIP i kākau ʻia ma Rust. Ua hoʻohui ʻia ka hiki ke hoʻopaʻa inoa ma o ka subsystem EVE i ka FTP parsing module, e hāʻawi ana i ka hanana hanana ma JSON format; - Ma waho aʻe o ke kākoʻo no ke ʻano ʻike ʻike mea kūʻai aku ʻo JA3 TLS i ʻike ʻia ma ka hoʻokuʻu hope, kākoʻo no ke ʻano. , Ma muli o nā hiʻohiʻona o ke kūkākūkā pili a me nā ʻāpana i kuhikuhi ʻia, e hoʻoholo i ka polokalamu e hoʻohana ʻia e hoʻokumu i kahi pilina (no ka laʻana, hiki iā ʻoe ke hoʻoholo i ka hoʻohana ʻana o Tor a me nā noi maʻamau ʻē aʻe). ʻAe ʻo JA3 iā ʻoe e wehewehe i nā mea kūʻai aku, a ʻae ʻo JA3S iā ʻoe e wehewehe i nā kikowaena. Hiki ke hoʻohana ʻia nā hopena o ka hoʻoholo ʻana ma ka ʻōlelo hoʻonohonoho lula a me nā moʻolelo;
- Hoʻohui i ka mana hoʻokolohua e hoʻohālikelike i nā laʻana mai nā pūʻulu ʻikepili nui, i hoʻokō ʻia me ka hoʻohana ʻana i nā hana hou . No ka laʻana, pili ka hiʻohiʻona i ka ʻimi ʻana i nā masks ma nā papa inoa ʻeleʻele nui i loaʻa nā miliona o nā helu;
- Hāʻawi ke ʻano hōʻike HTTP i ka uhi piha o nā kūlana āpau i wehewehe ʻia ma ka suite hoʻāʻo (e laʻa, uhi i nā ʻenehana i hoʻohana ʻia no ka hūnā ʻana i nā hana ʻino i ke kaʻa);
- Ua hoʻololi ʻia nā mea hana no ka hoʻomohala ʻana i nā modula ma ka ʻōlelo Rust mai nā koho i nā mana maʻamau. I ka wā e hiki mai ana, ua hoʻolālā ʻia e hoʻonui i ka hoʻohana ʻana iā Rust i ka waihona code project a hoʻololi mālie i nā modula me nā analogues i kūkulu ʻia ma Rust;
- Ua hoʻomaikaʻi ʻia ka ʻenekini wehewehe protocol e hoʻomaikaʻi i ka pololei a mālama i nā kahe asynchronous;
- Ua hoʻohui ʻia ke kākoʻo no kahi ʻano komo "anomali" hou i ka log EVE, kahi e mālama ai i nā hanana atypical i ʻike ʻia i ka wā e hoʻololi ai i nā ʻeke. Ua hoʻonui pū ʻo EVE i ka hōʻike ʻana o ka ʻike e pili ana i nā VLAN a me nā mea hoʻopili hopu. Hoʻohui i kahi koho e mālama i nā poʻomanaʻo HTTP āpau i nā hoʻokomo log EVE http;
- Hāʻawi nā mea hoʻokele eBPF i ke kākoʻo no nā mīkini ʻenehana no ka hoʻolalelale ʻana i ka hopu packet. Hoʻopili ʻia ka wikiwiki ʻana o nā lako hana i nā mea hoʻopili pūnaewele ʻo Netronome, akā e loaʻa koke ana no nā lako ʻē aʻe;
- Ua kākau hou ʻia ke code no ka hopu ʻana i nā kaʻa me ka hoʻohana ʻana i ka Netmap framework. Hoʻohui i ka hiki ke hoʻohana i nā hiʻohiʻona Netmap kiʻekiʻe e like me ka hoʻololi virtual ;
- kākoʻo no kahi hoʻolālā wehewehe huaʻōlelo hou no Sticky Buffers. Ua wehewehe ʻia ka papahana hou ma ke ʻano "protocol.buffer", no ka laʻana, no ka nānā ʻana i kahi URI, e lawe ka huaʻōlelo i ke ʻano "http.uri" ma kahi o "http_uri";
- Ho'āʻo ʻia nā code Python āpau i hoʻohana ʻia no ka hoʻohālikelike ʻana me
Python3; - Ua hoʻopau ʻia ke kākoʻo no ka hoʻolālā Tilera, ka log log dns.log a me nā faila log kahiko-json.log.
Nā hiʻohiʻona o Suricata:
- Ke hoʻohana nei i kahi ʻano hoʻohui e hōʻike i nā hopena scan , hoʻohana pū ʻia e ka papahana Snort, hiki ke hoʻohana i nā mea hana loiloi maʻamau e like me . Hiki ke hoʻohui pū me nā huahana BASE, Snorby, Sguil a me SQueRT. Kākoʻo puka PCAP;
- Kākoʻo no ka ʻike maʻalahi o nā protocols (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), e ʻae iā ʻoe e hana i nā lula ma ke ʻano protocol wale nō, me ka ʻole e pili ana i ka helu port (no ka laʻana, block HTTP kaʻa ma ke awa maʻamau ʻole) . Loaʻa i nā decoders no HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP a me nā protocol SSH;
- ʻO kahi ʻōnaehana hoʻoheheʻe HTTP ikaika e hoʻohana ana i kahi waihona HTP kūikawā i hana ʻia e ka mea kākau o ka papahana Mod_Security e hoʻopau a maʻamau i ka hele ʻana o HTTP. Loaʻa kahi module no ka mālama ʻana i kahi log kikoʻī o nā transit HTTP transit; mālama ʻia ka log ma kahi ʻano maʻamau
Apache. Kākoʻo ʻia ke kiʻi ʻana a me ka nānā ʻana i nā faila i hoʻouna ʻia ma o HTTP. Kākoʻo no ka hoʻokaʻawale ʻana i nā mea i hoʻopaʻa ʻia. Hiki ke ʻike e URI, Kuki, poʻo, mea hoʻohana, kino noi/pane; - Kākoʻo no nā ʻokoʻa like ʻole no ke kaʻa kaʻa, me NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Hiki ke kālailai i nā faila i mālama ʻia ma ke ʻano PCAP;
- ʻO ka hana kiʻekiʻe, hiki ke hana i nā kahe a hiki i 10 gigabits / sec ma nā mea hana maʻamau.
- ʻO ka mīkini hoʻohālikelike mask hana kiʻekiʻe no nā pūʻulu nui o nā helu IP. Kākoʻo no ke koho ʻana i ka ʻike ma ka mask a me nā ʻōlelo maʻamau. Hoʻokaʻawale i nā faila mai nā kaʻa, me kā lākou ʻike ma ka inoa, ʻano a i ʻole MD5 checksum.
- Hiki ke hoʻohana i nā ʻano like ʻole i nā lula: hiki iā ʻoe ke mālama i ka ʻike mai kahi kahawai a hoʻohana ma hope i nā lula ʻē aʻe;
- E hoʻohana i ka format YAML i nā faila hoʻonohonoho, e hiki ai iā ʻoe ke mālama i ka mālamalama ʻoiai e maʻalahi i ka hana mīkini;
- Kākoʻo IPv6 piha;
- ʻO ka mīkini i kūkulu ʻia no ka defragmentation maʻalahi a me ka hui hou ʻana o nā ʻeke, e ʻae ana i ka hoʻoponopono pololei ʻana i nā kahawai, me ka nānā ʻole i ke ʻano o ka hiki ʻana o nā ʻeke;
- Kākoʻo no nā kuʻina tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Kākoʻo decoding packet: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- ʻO ke ʻano no ka hoʻopaʻa ʻana i nā kī a me nā palapala hōʻoia e ʻike ʻia ana i loko o nā pilina TLS/SSL;
- ʻO ka hiki ke kākau i nā palapala ma Lua no ka hāʻawi ʻana i ka loiloi holomua a hoʻokō i nā mana hou e pono ai e ʻike i nā ʻano kaʻa i lawa ʻole nā lula maʻamau.
Source: opennet.ru