ProHoster > Блог > интернет жаңалықтары > Suricata 6.0 енуді анықтау жүйесінің шығарылымы

Suricata 6.0 енуді анықтау жүйесінің шығарылымы

Бір жылдық дамудан кейін OISF (Open Information Security Foundation) ұйымы жарияланған желіге енуді анықтау және алдын алу жүйесін шығару Meerkat 6.0, ол қозғалыстың әртүрлі түрлерін тексеруге арналған құралдарды ұсынады. Suricata конфигурацияларында оны пайдалануға болады қолтаңба деректер базасы, Snort жобасымен әзірленген, сондай-ақ ережелер жиынтығы Пайда болған қауіптер и Emerging Threats Pro. Жоба көздері кеңейтіңіз GPLv2 бойынша лицензияланған.

Негізгі өзгерістер:

  • HTTP/2 үшін бастапқы қолдау.
  • RFB және MQTT хаттамаларын қолдау, соның ішінде хаттаманы анықтау және журналды жүргізу мүмкіндігі.
  • DCERPC хаттамасы үшін тіркеу мүмкіндігі.
  • JSON пішімінде оқиғаның шығуын қамтамасыз ететін EVE ішкі жүйесі арқылы журнал жүргізу өнімділігін айтарлықтай жақсарту. Жеделдетуге Rust тілінде жазылған жаңа JSON қор құрастырушысын пайдалану арқасында қол жеткізілді.
  • EVE журнал жүйесінің ауқымдылығы ұлғайтылды және әрбір ағын үшін жеке журнал файлын жүргізу мүмкіндігі іске асырылды.
  • Журналға ақпаратты қалпына келтіру шарттарын анықтау мүмкіндігі.
  • MAC мекенжайларын EVE журналында көрсету және DNS журналының мәліметтерін арттыру мүмкіндігі.
  • Ағынды қозғалтқыштың жұмысын жақсарту.
  • SSH енгізулерін анықтауға қолдау көрсету (HASSH).
  • GENEVE туннель декодерін енгізу.
  • Өңдеу коды Rust тілінде қайта жазылды ASN.1, DCERPC және SSH. Rust сонымен қатар жаңа протоколдарды қолдайды.
  • Ережені анықтау тілінде byte_jump кілт сөзіне from_end параметріне қолдау қосылды және бит маскасы параметріне қолдау byte_test параметріне қосылды. Ішкі жолды түсіру үшін тұрақты өрнектерді (pcre) пайдалануға рұқсат беру үшін pcrexform кілт сөзін енгізді. Urldecode түрлендіру қосылды. byte_math кілт сөзі қосылды.
  • Rust және C тілдерінде байланыстыруларды жасау үшін cbindgen пайдалану мүмкіндігін береді.
  • Қосылған бастапқы плагин қолдауы.

Suricata ерекшеліктері:

  • Сканерлеу нәтижелерін көрсету үшін бірыңғай пішімді пайдалану Бірыңғай 2сияқты стандартты талдау құралдарын пайдалануға мүмкіндік беретін Snort жобасымен де қолданылады қора 2. BASE, Snorby, Sguil және SQueRT өнімдерімен біріктіру мүмкіндігі. PCAP шығысын қолдау;
  • Протоколдарды автоматты түрде анықтауды қолдау (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB және т. стандартты емес порттағы трафик). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP және SSH хаттамалары үшін декодерлердің болуы;
  • HTTP трафигін талдау және қалыпқа келтіру үшін Mod_Security жобасының авторы жасаған арнайы HTP кітапханасын пайдаланатын қуатты HTTP трафикті талдау жүйесі. Транзиттік HTTP тасымалдауларының егжей-тегжейлі журналын жүргізу үшін модуль қол жетімді; журнал стандартты форматта сақталады.
    Апачи. HTTP арқылы жіберілген файлдарды шығарып алу және тексеруге қолдау көрсетіледі. Қысылған мазмұнды талдауды қолдау. URI, Cookie, тақырыптар, пайдаланушы-агент, сұрау/жауап органы арқылы анықтау мүмкіндігі;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING қоса алғанда, трафикті тоқтату үшін әртүрлі интерфейстерді қолдау. PCAP пішімінде сақталған файлдарды талдауға болады;
  • Жоғары өнімділік, кәдімгі жабдықта 10 гигабит/сек дейінгі ағындарды өңдеу мүмкіндігі.
  • IP мекенжайларының үлкен жиынтықтары үшін жоғары өнімді масканы сәйкестендіру механизмі. Маска және тұрақты өрнектер бойынша мазмұнды таңдауға қолдау көрсету. Файлдарды трафиктен оқшаулау, соның ішінде олардың аты, түрі немесе MD5 бақылау сомасы бойынша сәйкестендіру.
  • Ережелерде айнымалы мәндерді пайдалану мүмкіндігі: ағыннан ақпаратты сақтауға және кейінірек оны басқа ережелерде пайдалануға болады;
  • Конфигурация файлдарында YAML пішімін пайдалану, бұл өңдеуге оңай бола отырып, анықтықты сақтауға мүмкіндік береді;
  • Толық IPv6 қолдауы;
  • Пакеттердің келу ретіне қарамастан ағындарды дұрыс өңдеуге мүмкіндік беретін пакеттерді автоматты түрде дефрагментациялауға және қайта жинауға арналған кіріктірілген қозғалтқыш;
  • Туннельдеу хаттамаларын қолдау: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Пакеттерді декодтауды қолдау: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL қосылымдарында пайда болатын кілттер мен сертификаттарды тіркеу режимі;
  • Жетілдірілген талдауды қамтамасыз ету және стандартты ережелер жеткіліксіз трафик түрлерін анықтау үшін қажет қосымша мүмкіндіктерді енгізу үшін Lua тілінде сценарий жазу мүмкіндігі.

Ақпарат көзі: opennet.ru

пікір қалдыру