Lub Koom Haum OISF (Qhib Cov Ntaub Ntawv Kev Nyab Xeeb Kev Nyab Xeeb) tso tawm lub network intrusion nrhiav kom tau thiab tiv thaiv system , uas muab cov cuab yeej rau kev tshuaj xyuas ntau hom kev khiav tsheb. Hauv Suricata configurations nws tuaj yeem siv tau , tsim los ntawm Snort qhov project, nrog rau cov kev cai ΠΈ . Qhov project qhov chaw muaj ntawv tso cai raws li GPLv2.
Cov kev hloov loj:
- Tshiab modules rau parsing thiab logging raws tu qauv tau qhia
RDP, SNMP thiab SIP sau hauv Rust. Lub peev xwm nkag los ntawm EVE subsystem tau ntxiv rau FTP parsing module, muab cov xwm txheej tso tawm hauv JSON hom; - Ntxiv rau qhov kev txhawb nqa rau JA3 TLS tus neeg siv cov txheej txheem uas tau tshwm sim hauv qhov kev tso tawm kawg, kev txhawb nqa rau txoj kev , Raws li cov yam ntxwv ntawm kev sib tham kev sib tham thiab cov kev txwv tsis pub dhau, txiav txim siab seb cov software twg siv los tsim kev sib txuas (piv txwv li, nws tso cai rau koj los txiav txim siab siv Tor thiab lwm yam kev siv tus qauv). JA3 tso cai rau koj los txhais cov neeg siv khoom, thiab JA3S tso cai rau koj los txhais cov servers. Cov txiaj ntsig ntawm kev txiav txim siab tuaj yeem siv rau hauv txoj cai teeb tsa lus thiab hauv cov cav;
- Ntxiv qhov kev sim muaj peev xwm los sib piv cov qauv los ntawm cov ntaub ntawv loj, tau siv los ua haujlwm tshiab . Piv txwv li, qhov tshwj xeeb muaj feem xyuam rau kev tshawb nrhiav qhov ncauj qhov ntswg hauv cov npe dub loj uas muaj ntau lab tus nkag;
- HTTP tshuaj xyuas hom muab kev pabcuam tag nrho ntawm txhua qhov xwm txheej tau piav qhia hauv chav kuaj (piv txwv li, npog cov txheej txheem siv los nkaum kev ua phem hauv kev khiav tsheb);
- Cov cuab yeej los tsim cov qauv hauv cov lus Rust tau raug pauv los ntawm cov kev xaiv mus rau qhov yuav tsum tau muaj peev xwm. Nyob rau hauv lub neej yav tom ntej, nws yog npaj los nthuav kev siv Rust nyob rau hauv lub project code puag thiab maj mam hloov modules nrog analogues tsim nyob rau hauv Rust;
- Cov txheej txheem txhais lub cav tau raug txhim kho los txhim kho qhov tseeb thiab tswj cov tsheb khiav asynchronous;
- Kev them nyiaj yug rau hom kev nkag tshiab "anomaly" tau ntxiv rau EVE cav, uas khaws cov xwm txheej tsis zoo uas tau pom thaum txiav txim siab pob ntawv. EVE kuj tau nthuav dav cov zaub ntawm cov ntaub ntawv hais txog VLANs thiab kev ntes cov kev sib tshuam. Ntxiv kev xaiv los cawm tag nrho HTTP headers hauv EVE http cav nkag;
- eBPF-based handlers muab kev txhawb nqa rau cov cuab yeej kho vajtse kom nrawm pob ntawv ntes. Hardware acceleration yog tam sim no txwv rau Netronome network adapters, tab sis yuav sai sai no muaj rau lwm yam khoom siv;
- Txoj cai rau kev ntes tsheb khiav siv Netmap moj khaum tau raug sau dua tshiab. Ntxiv lub peev xwm los siv cov Netmap qib siab xws li hloov pauv virtual ;
- kev txhawb nqa rau lo lus tseem ceeb tshiab lub tswv yim rau Sticky Buffers. Cov tswv yim tshiab tau txhais hauv "protocol.buffer" hom, piv txwv li, rau kev tshuaj xyuas URI, lo lus tseem ceeb yuav siv daim ntawv "http.uri" es tsis yog "http_uri";
- Txhua tus lej Python siv tau raug sim rau kev sib raug zoo nrog
Python 3; - Kev them nyiaj yug rau Tilera architecture, cov ntawv sau npe dns.log thiab cov ntaub ntawv qub-json.log tau raug txiav lawm.
Feature ntawm Suricata:
- Siv ib hom kev sib koom ua ke los tso saib cov txiaj ntsig scan , kuj tseem siv los ntawm Snort qhov project, uas tso cai rau kev siv cov txheej txheem tsom xam cov cuab yeej xws li . Muaj peev xwm ntawm kev koom ua ke nrog BASE, Snorby, Sguil thiab SQueRT cov khoom. PCAP tso zis txhawb nqa;
- Kev them nyiaj yug rau kev tshawb nrhiav tsis siv neeg ntawm cov txheej txheem (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, thiab lwm yam), tso cai rau koj ua haujlwm hauv cov cai nkaus xwb los ntawm hom raws tu qauv, yam tsis siv rau tus lej chaw nres nkoj (piv txwv li, thaiv HTTP tsheb khiav ntawm qhov chaw nres nkoj tsis yog qauv). Muaj cov decoders rau HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP thiab SSH raws tu qauv;
- Lub zog HTTP kev txheeb xyuas kev tsheb khiav ceev uas siv lub tsev qiv ntawv tshwj xeeb HTP tsim los ntawm tus sau ntawm Mod_Security qhov project los txheeb xyuas thiab ua kom HTTP kev khiav mus li qub. Ib qho module muaj rau kev tswj xyuas cov ncauj lus kom ntxaws txog kev hloov pauv HTTP; lub cav tau txais kev cawmdim nyob rau hauv hom qauv
Apache. Retrieving thiab xyuas cov ntaub ntawv kis tau los ntawm HTTP yog txaus siab. Kev them nyiaj yug rau parsing compressed cov ntsiab lus. Muaj peev xwm txheeb xyuas los ntawm URI, Ncuav Qab Zib, headers, user-agent, thov / teb lub cev; - Kev them nyiaj yug rau ntau yam kev cuam tshuam rau kev cuam tshuam tsheb, suav nrog NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Nws muaj peev xwm txheeb xyuas cov ntaub ntawv khaws tseg hauv PCAP hom ntawv;
- Kev ua haujlwm siab, muaj peev xwm ua haujlwm ntws mus txog 10 gigabits / sec ntawm cov cuab yeej siv.
- Kev ua tau zoo ntawm daim npog ntsej muag zoo sib xws rau cov txheej txheem loj ntawm IP chaw nyob. Txhawb kev xaiv cov ntsiab lus los ntawm daim npog ntsej muag thiab cov lus qhia tsis tu ncua. Kev cais cov ntaub ntawv los ntawm kev khiav tsheb, suav nrog lawv cov cim npe, hom lossis MD5 checksum.
- Muaj peev xwm siv cov kev hloov pauv hauv cov cai: koj tuaj yeem txuag cov ntaub ntawv los ntawm cov kwj dej thiab tom qab ntawd siv nws hauv lwm txoj cai;
- Kev siv YAML hom ntawv hauv cov ntaub ntawv teeb tsa, uas tso cai rau koj tswj kom pom tseeb thaum ua kom yooj yim rau cov txheej txheem tshuab;
- Kev them nyiaj yug IPv6 tag nrho;
- Ua-nyob rau hauv lub cav rau tsis siv neeg defragmentation thiab reassembly ntawm cov pob ntawv, tso cai rau kev ua tiav ntawm cov kwj deg, tsis hais qhov kev txiav txim ntawm cov pob khoom tuaj txog;
- Kev them nyiaj yug rau tunneling raws tu qauv: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Kev them nyiaj yug pob ntawv: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Hom rau kev txiav cov yuam sij thiab daim ntawv pov thawj tshwm sim hauv TLS / SSL kev sib txuas;
- Lub peev xwm los sau cov ntawv sau hauv Lua los muab kev tshuaj ntsuam xyuas qib siab thiab siv cov peev txheej ntxiv uas xav tau los txheeb xyuas hom kev khiav tsheb uas cov qauv kev cai tsis txaus.
Tau qhov twg los: opennet.ru