ProHoster > Блог > интернет жаңалықтары > Suricata 5.0 шабуылды анықтау жүйесі қол жетімді

Suricata 5.0 шабуылды анықтау жүйесі қол жетімді

OISF ұйымы (Ашық ақпараттық қауіпсіздік қоры) жарияланған желіге енуді анықтау және алдын алу жүйесін шығару Meerkat 5.0, ол қозғалыстың әртүрлі түрлерін тексеруге арналған құралдарды ұсынады. Suricata конфигурацияларында оны пайдалануға болады қолтаңба деректер базасы, Snort жобасымен әзірленген, сондай-ақ ережелер жиынтығы Пайда болған қауіптер и Emerging Threats Pro. Жоба көздері кеңейтіңіз GPLv2 бойынша лицензияланған.

Негізгі өзгерістер:

  • Протоколдарды талдау және тіркеу үшін жаңа модульдер енгізілді
    Rust тілінде жазылған RDP, SNMP және SIP. JSON пішімінде оқиғаның шығуын қамтамасыз ететін FTP талдау модуліне EVE ішкі жүйесі арқылы кіру мүмкіндігі қосылды;

  • Соңғы шығарылымда пайда болған JA3 TLS клиентті сәйкестендіру әдісіне қолдау көрсетуге қосымша әдіске қолдау көрсету JA3S, мүмкіндік беру Қосылу келіссөздерінің сипаттамаларына және көрсетілген параметрлерге сүйене отырып, қосылымды орнату үшін қандай бағдарламалық құрал пайдаланылатынын анықтаңыз (мысалы, ол Tor және басқа стандартты қолданбаларды пайдалануды анықтауға мүмкіндік береді). JA3 клиенттерді анықтауға мүмкіндік береді, ал JA3S серверлерді анықтауға мүмкіндік береді. Анықтау нәтижелері ережені орнату тілінде және журналдарда қолданылуы мүмкін;
  • Жаңа операцияларды қолдану арқылы іске асырылған үлкен деректер жиынынан үлгілерді сәйкестендіру үшін қосылған эксперименттік мүмкіндік деректер жинағы және дерекқор. Мысалы, бұл мүмкіндік миллиондаған жазбаларды қамтитын үлкен қара тізімдерден бетперделерді іздеуге қолданылады;
  • HTTP тексеру режимі сынақ жиынында сипатталған барлық жағдайларды толық қамтуды қамтамасыз етеді HTTP Evader (мысалы, трафиктегі зиянды әрекетті жасыру үшін қолданылатын әдістерді қамтиды);
  • Rust тіліндегі модульдерді әзірлеуге арналған құралдар опциялардан міндетті стандартты мүмкіндіктерге ауыстырылды. Болашақта жобалық код базасында Rust-ты қолдануды кеңейту және модульдерді Rust-те әзірленген аналогтармен біртіндеп ауыстыру жоспарлануда;
  • Протоколды анықтау механизмі дәлдікті жақсарту және асинхронды трафик ағындарын өңдеу үшін жетілдірілді;
  • Пакеттерді декодтау кезінде анықталған типтік емес оқиғаларды сақтайтын EVE журналына жаңа «аномалия» жазба түрін қолдау қосылды. EVE сонымен қатар VLAN және трафикті түсіру интерфейстері туралы ақпаратты көрсетуді кеңейтті. EVE http журнал жазбаларында барлық HTTP тақырыптарын сақтау опциясы қосылды;
  • eBPF негізіндегі өңдеушілер пакетті түсіруді жеделдетуге арналған аппараттық механизмдерге қолдау көрсетеді. Аппараттық жеделдету қазіргі уақытта Netronome желілік адаптерлерімен шектелген, бірақ жақын арада басқа жабдық үшін қолжетімді болады;
  • Nemap құрылымын пайдаланып трафикті түсіру коды қайта жазылды. Виртуалды қосқыш сияқты кеңейтілген Nemap мүмкіндіктерін пайдалану мүмкіндігі қосылды Валеев;
  • Қосылды Sticky Buffers үшін жаңа кілт сөзді анықтау схемасын қолдау. Жаңа схема «protocol.buffer» пішімінде анықталған, мысалы, URI тексеру үшін кілт сөз «http_uri» орнына «http.uri» пішінін алады;
  • Пайдаланылған барлық Python коды үйлесімділік үшін сыналған
    Python3;

  • Tilera архитектурасына, dns.log мәтіндік журналына және файлдар-json.log ескі журналына қолдау көрсету тоқтатылды.

Suricata ерекшеліктері:

  • Сканерлеу нәтижелерін көрсету үшін бірыңғай пішімді пайдалану Бірыңғай 2сияқты стандартты талдау құралдарын пайдалануға мүмкіндік беретін Snort жобасымен де қолданылады қора 2. BASE, Snorby, Sguil және SQueRT өнімдерімен біріктіру мүмкіндігі. PCAP шығысын қолдау;
  • Протоколдарды автоматты түрде анықтауды қолдау (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB және т. стандартты емес порттағы трафик). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP және SSH хаттамалары үшін декодерлердің болуы;
  • HTTP трафигін талдау және қалыпқа келтіру үшін Mod_Security жобасының авторы жасаған арнайы HTP кітапханасын пайдаланатын қуатты HTTP трафикті талдау жүйесі. Транзиттік HTTP тасымалдауларының егжей-тегжейлі журналын жүргізу үшін модуль қол жетімді; журнал стандартты форматта сақталады.
    Апачи. HTTP арқылы жіберілген файлдарды шығарып алу және тексеруге қолдау көрсетіледі. Қысылған мазмұнды талдауды қолдау. URI, Cookie, тақырыптар, пайдаланушы-агент, сұрау/жауап органы арқылы анықтау мүмкіндігі;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING қоса алғанда, трафикті тоқтату үшін әртүрлі интерфейстерді қолдау. PCAP пішімінде сақталған файлдарды талдауға болады;
  • Жоғары өнімділік, кәдімгі жабдықта 10 гигабит/сек дейінгі ағындарды өңдеу мүмкіндігі.
  • IP мекенжайларының үлкен жиынтықтары үшін жоғары өнімді масканы сәйкестендіру механизмі. Маска және тұрақты өрнектер бойынша мазмұнды таңдауға қолдау көрсету. Файлдарды трафиктен оқшаулау, соның ішінде олардың аты, түрі немесе MD5 бақылау сомасы бойынша сәйкестендіру.
  • Ережелерде айнымалы мәндерді пайдалану мүмкіндігі: ағыннан ақпаратты сақтауға және кейінірек оны басқа ережелерде пайдалануға болады;
  • Конфигурация файлдарында YAML пішімін пайдалану, бұл өңдеуге оңай бола отырып, анықтықты сақтауға мүмкіндік береді;
  • Толық IPv6 қолдауы;
  • Пакеттердің келу ретіне қарамастан ағындарды дұрыс өңдеуге мүмкіндік беретін пакеттерді автоматты түрде дефрагментациялауға және қайта жинауға арналған кіріктірілген қозғалтқыш;
  • Туннельдеу хаттамаларын қолдау: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Пакеттерді декодтауды қолдау: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL қосылымдарында пайда болатын кілттер мен сертификаттарды тіркеу режимі;
  • Жетілдірілген талдауды қамтамасыз ету және стандартты ережелер жеткіліксіз трафик түрлерін анықтау үшін қажет қосымша мүмкіндіктерді енгізу үшін Lua тілінде сценарий жазу мүмкіндігі.

    • Ақпарат көзі: opennet.ru

пікір қалдыру