Apre yon ane devlopman, òganizasyon OISF (Open Information Security Foundation). lage sistèm deteksyon ak prevansyon entrizyon rezo a , ki bay yon mwayen pou enspekte plizyè kalite trafik. Nan konfigirasyon Suricata, li akseptab pou itilize , devlope pa pwojè a Snort, osi byen ke seri règ и . Kòd sous pwojè a lisansye anba GPLv2.
Chanjman prensipal yo:
- Premye sipò pou HTTP/2.
- Sipò pou pwotokòl RFB ak MQTT, ki gen ladan kapasite pou defini pwotokòl la epi kenbe yon boutèy demi lit.
- Posiblite pou antre pou pwotokòl DCERPC.
- Siyifikatif amelyorasyon nan pèfòmans anrejistreman atravè subsistèm EVE, ki bay pwodiksyon evènman an fòma JSON. Akselerasyon an te reyalize grasa itilizasyon yon nouvo JSON stock builder ekri nan lang Rust.
- Yo te ogmante évolutivité sistèm log EVE epi yo te aplike kapasite pou kenbe yon dosye separe pou chak fil.
- Kapasite pou defini kondisyon pou reset enfòmasyon nan boutèy demi lit la.
- Posiblite pou reflete adrès MAC nan boutèy EVE a ak ogmante detay nan boutèy la DNS.
- Amelyore pèfòmans motè koule a.
- Sipò pou idantifye aplikasyon SSH ().
- Aplikasyon dekodè tinèl GENEVE.
- Kòd pou tretman an te reekri nan lang Rust , DCERPC ak SSH. Rust sipòte tou nouvo pwotokòl.
- Nan langaj definisyon règ la, yo te ajoute sipò pou paramèt from_end nan mo kle byte_jump, epi sipò pou paramèt bitmask la te ajoute nan byte_test. Aplike mo kle pcrexform pou pèmèt ekspresyon regilye (pcre) yo dwe itilize pou pran yon substring. Te ajoute konvèsyon urldecode. Te ajoute mo kle byte_math.
- Bay kapasite pou itilize cbindgen pou jenere lyen nan lang Rust ak C.
- Te ajoute sipò inisyal plugin.
Karakteristik nan Suricata:
- Sèvi ak yon fòma inifye pou montre rezilta validasyon yo , tou itilize pa pwojè a Snort, ki pèmèt itilize nan zouti analiz estanda tankou . Kapasite pou entegre ak pwodwi BASE, Snorby, Sguil ak SQueRT. Sipò pou pwodiksyon nan fòma PCAP;
- Sipò pou deteksyon otomatik nan pwotokòl (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, elatriye), ki pèmèt ou opere nan règ yo sèlman pa kalite a pwotokòl, san referans a nimewo pò a (pa egzanp. , pou bloke trafik HTTP sou yon pò ki pa estanda). Dekodè pou HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ak SSH pwotokòl;
- Yon sistèm analiz pwisan HTTP trafik ki itilize yon bibliyotèk espesyal HTP ki te kreye pa otè pwojè Mod_Security pou analize ak nòmalize trafik HTTP. Gen yon modil ki disponib pou kenbe yon jounal detaye sou transfè HTTP transpò piblik yo, se boutèy la sove nan yon fòma estanda
Apache. Ekstraksyon ak verifikasyon dosye transfere atravè HTTP pwotokòl sipòte. Sipò pou analize kontni konprese. Kapasite pou idantifye pa URI, Cookie, headers, itilizatè-ajan, kò demann/repons; - Sipò pou divès entèfas pou entèsepte trafik, tankou NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Li posib pou analize dosye ki deja sove nan fòma PCAP;
- Segondè pèfòmans, kapasite nan trete kouran jiska 10 gigabit / sec sou ekipman konvansyonèl yo.
- Segondè pèfòmans mask matche motè ak seri gwo adrès IP. Sipò pou seleksyon kontni pa mask ak ekspresyon regilye. Separasyon fichye yo ak trafik, ki gen ladan idantifikasyon yo pa non, kalite oswa sòm chèk MD5.
- Kapasite pou itilize varyab nan règ: ou ka sove enfòmasyon ki soti nan kouran an epi pita sèvi ak li nan lòt règ;
- Sèvi ak fòma YAML nan dosye konfigirasyon, ki pèmèt ou kenbe vizibilite avèk fasilite nan pwosesis machin;
- Sipò konplè IPv6;
- Bati-an motè pou defragmantasyon otomatik ak reyaji nan pake, ki pèmèt asire pwosesis kòrèk nan kouran, kèlkeswa lòd la nan ki pake yo rive;
- Sipò pou pwotokòl tinèl: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Sipò pou dekodaj pake: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, kri, SLL, VLAN;
- Mòd anrejistreman pou kle ak sètifika ki parèt nan koneksyon TLS/SSL;
- Kapasite pou ekri script Lua pou bay analiz avanse epi aplike karakteristik adisyonèl ki nesesè pou idantifye kalite trafik pou ki règ estanda yo pa ase.
Sous: opennet.ru