После года разработки организация OISF (Open Information Security Foundation) ntọhapụ nke nchọpụta ntinye netwọkụ na usoro mgbochi , nke na-enye ngwá ọrụ iji nyochaa ụdị okporo ụzọ dị iche iche. Na nhazi nke Suricata ọ ga-ekwe omume iji , mepụtara site na ọrụ Snort, yana usoro iwu и . Isi mmalite nke oru ngo ikike n'okpuru GPLv2.
Isi mgbanwe:
- Начальная поддержка HTTP/2.
- Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
- Возможность ведения лога для протокола DCERPC.
- Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
- Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
- Возможность определения условий для сброса сведений в лог.
- Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
- Повышение производительности движка обработки потоков (flow engine).
- Поддержка идентификации реализаций SSH ().
- Реализация декодировщика туннелей GENEVE.
- На языке Rust переписан код для обработки , DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
- В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
- Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
- Добавлена начальная поддержка плагинов.
Njirimara nke Suricata:
- Iji usoro ejikọtara ọnụ iji gosipụta nsonaazụ nyocha , na-ejikwa ọrụ Snort, nke na-enye ohere iji ngwaọrụ nyocha ọkọlọtọ dịka . Enwere ike ijikọ na ngwaahịa BASE, Snorby, Sguil na SQueRT. Nkwado mmepụta PCAP;
- Nkwado maka nchọpụta akpaka nke ụkpụrụ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, wdg), na-enye gị ohere ịrụ ọrụ na iwu naanị site na ụdị protocol, na-enweghị nrụtụ aka na nọmba ọdụ ụgbọ mmiri (dịka ọmụmaatụ, igbochi HTTP). okporo ụzọ na ọdụ ụgbọ mmiri na-abụghị ọkọlọtọ). Nnweta nke decoders maka HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP na protocol SSH;
- Sistemụ nyocha okporo ụzọ HTTP siri ike nke na-eji ọbá akwụkwọ HTP pụrụ iche nke onye ode akwụkwọ nke Mod_Security mebere iji tụgharị ma mezie okporo ụzọ HTTP. Modul dị maka idowe ndekọ zuru ezu nke mbufe HTTP; echekwara ndekọ ahụ n'ụdị ọkọlọtọ
Apache. A na-akwado iweghachite na ịlele faịlụ ebufere site na HTTP. Nkwado maka ịkọwa ọdịnaya abịakọrọ. Ikike ịmata site na URI, kuki, nkụnye eji isi mee, onye ọrụ-onye ọrụ, arịrịọ / nzaghachi ahụ; - Nkwado maka ụzọ dị iche iche maka nkwụsị okporo ụzọ, gụnyere NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Ọ ga-ekwe omume inyocha faịlụ echekwara na usoro PCAP;
- Ịrụ ọrụ dị elu, ike ịhazi na-asọba ruo 10 gigabits / sk na ngwa ngwa.
- Usoro dakọtara nkpuchi dị elu maka ọtụtụ adreesị IP. Nkwado maka ịhọrọ ọdịnaya site na nkpuchi na okwu mgbe niile. Kewapụ faịlụ na okporo ụzọ, gụnyere njirimara ha site na aha, ụdị ma ọ bụ MD5 checksum.
- Ikike iji mgbanwe na iwu: ị nwere ike ịchekwa ozi site na iyi ma emesịa jiri ya na iwu ndị ọzọ;
- Iji usoro YAML na faịlụ nhazi, nke na-enye gị ohere idobe ido anya mgbe ị na-adị mfe nhazi igwe;
- Nkwado IPv6 zuru oke;
- Igwe eji arụ ọrụ maka mmebi akpaka na nchịkọta nke ngwugwu, na-enye ohere maka nhazi nke ọma nke iyi, n'agbanyeghị usoro nke ngwugwu rutere;
- Nkwado maka usoro iwu tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Nkwado ngbanwe nke ngwugwu: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Ụdị maka igodo ndekọ na asambodo pụtara n'ime njikọ TLS/SSL;
- Ikike ide edemede na Lua iji nye nyocha dị elu yana mejuputa ike ndị ọzọ achọrọ iji chọpụta ụdị okporo ụzọ nke iwu ọkọlọtọ ezughị oke.
isi: opennet.ru