XNUMX 年間の開発を経て、OISF (Open Information Security Foundation) 組織は
主な変更点:
- HTTP/2 の初期サポート。
- RFB および MQTT プロトコルのサポート (プロトコルを定義し、ログを維持する機能を含む)。
- DCERPC プロトコルのロギングの可能性。
- JSON 形式でイベント出力を提供する EVE サブシステムにより、ロギングのパフォーマンスが大幅に向上しました。 Rust 言語で書かれた新しい JSON ストック ビルダーの使用により、高速化が実現しました。
- EVE ログ システムのスケーラビリティが向上し、スレッドごとに個別のログ ファイルを維持する機能が実装されました。
- ログに情報をリセットするための条件を定義する機能。
- EVEログにMACアドレスを反映し、DNSログの詳細を増やすことが可能。
- フローエンジンのパフォーマンスを向上させます。
- SSH 実装の識別のサポート (
ハッシー ). - GENEVE トンネル デコーダの実装。
- 処理用のコードをRust言語で書き換えた
ASN.1 、DCERPC および SSH。 Rust は新しいプロトコルもサポートしています。 - ルール定義言語では、from_end パラメーターのサポートが byte_jump キーワードに追加され、bitmask パラメーターのサポートが byte_test に追加されました。 正規表現 (pcre) を使用して部分文字列をキャプチャできるようにするために、pcrexform キーワードが実装されました。 URLデコード変換を追加しました。 byte_math キーワードを追加しました。
- cbindgen を使用して Rust および C 言語でバインディングを生成する機能を提供します。
- 初期プラグインのサポートを追加しました。
Suricata の特徴:
- 統一フォーマットを使用したスキャン結果の表示
ユニファイド2 、Snort プロジェクトでも使用され、次のような標準分析ツールの使用が可能になります。ヒエ2 。 BASE、Snorby、Sguil、SQueRT 製品との統合の可能性。 PCAP 出力のサポート。 - プロトコル (IP、TCP、UDP、ICMP、HTTP、TLS、FTP、SMB など) の自動検出のサポートにより、ポート番号を参照せずに、プロトコル タイプのみによってルールを操作できます (HTTP をブロックするなど)。非標準ポート上のトラフィック)。 HTTP、SSL、TLS、SMB、SMB2、DCERPC、SMTP、FTP、SSH プロトコルのデコーダーの利用可能性。
- Mod_Security プロジェクトの作成者によって作成された特別な HTP ライブラリを使用して、HTTP トラフィックを解析および正規化する強力な HTTP トラフィック分析システム。 モジュールは、トランジット HTTP 転送の詳細なログを維持するために利用できます。ログは標準形式で保存されます。
アパッチ。 HTTP経由で送信されたファイルの取得と確認がサポートされています。 圧縮コンテンツの解析のサポート。 URI、Cookie、ヘッダー、ユーザーエージェント、リクエスト/レスポンスボディによって識別する機能。 - NFQueue、IPFRing、LibPcap、IPFW、AF_PACKET、PF_RING など、トラフィック傍受のためのさまざまなインターフェイスのサポート。 すでに保存されている PCAP 形式のファイルを解析することが可能です。
- 高性能で、従来の装置で最大 10 ギガビット/秒のフローを処理できます。
- 大規模な IP アドレスのセットに対する高性能マスク マッチング メカニズム。 マスクと正規表現によるコンテンツの選択のサポート。 名前、タイプ、または MD5 チェックサムによるファイルの識別を含め、ファイルをトラフィックから分離します。
- ルール内で変数を使用する機能: ストリームから情報を保存し、後で他のルールで使用できます。
- 構成ファイルでの YAML 形式の使用。これにより、機械加工が容易でありながら明確さを維持できます。
- IPv6 を完全にサポート。
- パケットの自動最適化と再構築のための内蔵エンジンにより、パケットの到着順序に関係なく、ストリームを正しく処理できます。
- トンネリング プロトコルのサポート: Teredo、IP-IP、IP6-IP4、IP4-IP6、GRE。
- パケットデコードのサポート: IPv4、IPv6、TCP、UDP、SCTP、ICMPv4、ICMPv6、GRE、イーサネット、PPP、PPPoE、Raw、SLL、VLAN。
- TLS/SSL 接続内に表示されるキーと証明書をログに記録するためのモード。
- Lua でスクリプトを作成して、高度な分析を提供し、標準ルールでは不十分なトラフィックの種類を識別するために必要な追加機能を実装する機能。
出所: オープンネット.ru