ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > Suricata 6.0 ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ವ್ಯವಸ್ಥೆಯ ಬಿಡುಗಡೆ

Suricata 6.0 ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ವ್ಯವಸ್ಥೆಯ ಬಿಡುಗಡೆ

После года разработки организация OISF (Open Information Security Foundation) ಪ್ರಕಟಿಸಲಾಗಿದೆ ನೆಟ್ವರ್ಕ್ ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ಮತ್ತು ತಡೆಗಟ್ಟುವ ವ್ಯವಸ್ಥೆಯ ಬಿಡುಗಡೆ ಮೀರ್ಕಟ್ 6.0, ಇದು ವಿವಿಧ ರೀತಿಯ ಸಂಚಾರವನ್ನು ಪರಿಶೀಲಿಸುವ ವಿಧಾನವನ್ನು ಒದಗಿಸುತ್ತದೆ. Suricata ಸಂರಚನೆಗಳಲ್ಲಿ, ಇದನ್ನು ಬಳಸಲು ಅನುಮತಿಸಲಾಗಿದೆ ಸಹಿ ಆಧಾರಗಳು, Snort ಯೋಜನೆಯಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ, ಜೊತೆಗೆ ನಿಯಮಗಳ ಸೆಟ್ ಉದಯೋನ್ಮುಖ ಬೆದರಿಕೆಗಳು и ಉದಯೋನ್ಮುಖ ಬೆದರಿಕೆಗಳು ಪ್ರೊ. ಯೋಜನೆಯ ಮೂಲ ಕೋಡ್ ಹರಡು GPLv2 ಅಡಿಯಲ್ಲಿ ಪರವಾನಗಿ ಪಡೆದಿದೆ.

ಪ್ರಮುಖ ಬದಲಾವಣೆಗಳು:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ಎಎಸ್ಎನ್ .1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

ಸುರಿಕಾಟಾದ ವೈಶಿಷ್ಟ್ಯಗಳು:

  • ಮೌಲ್ಯಮಾಪನ ಫಲಿತಾಂಶಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲು ಏಕೀಕೃತ ಸ್ವರೂಪವನ್ನು ಬಳಸುವುದು ಏಕೀಕೃತ2, ಸ್ನಾರ್ಟ್ ಪ್ರಾಜೆಕ್ಟ್‌ನಿಂದ ಸಹ ಬಳಸಲ್ಪಡುತ್ತದೆ, ಇದು ಪ್ರಮಾಣಿತ ವಿಶ್ಲೇಷಣಾ ಸಾಧನಗಳ ಬಳಕೆಯನ್ನು ಅನುಮತಿಸುತ್ತದೆ ಕೊಟ್ಟಿಗೆಯ 2. BASE, Snorby, Sguil ಮತ್ತು SQueRT ಉತ್ಪನ್ನಗಳೊಂದಿಗೆ ಸಂಯೋಜಿಸುವ ಸಾಮರ್ಥ್ಯ. PCAP ಸ್ವರೂಪದಲ್ಲಿ ಔಟ್‌ಪುಟ್‌ಗೆ ಬೆಂಬಲ;
  • ಪ್ರೋಟೋಕಾಲ್‌ಗಳ ಸ್ವಯಂಚಾಲಿತ ಪತ್ತೆಗೆ ಬೆಂಬಲ (ಐಪಿ, ಟಿಸಿಪಿ, ಯುಡಿಪಿ, ಐಸಿಎಂಪಿ, ಎಚ್‌ಟಿಟಿಪಿ, ಟಿಎಲ್‌ಎಸ್, ಎಫ್‌ಟಿಪಿ, ಎಸ್‌ಎಂಬಿ, ಇತ್ಯಾದಿ), ಇದು ಪೋರ್ಟ್ ಸಂಖ್ಯೆಯನ್ನು ಉಲ್ಲೇಖಿಸದೆ ಪ್ರೋಟೋಕಾಲ್ ಪ್ರಕಾರದಿಂದ ಮಾತ್ರ ನಿಯಮಗಳಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ (ಉದಾಹರಣೆಗೆ , ಪ್ರಮಾಣಿತವಲ್ಲದ ಪೋರ್ಟ್‌ನಲ್ಲಿ HTTP ದಟ್ಟಣೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲು) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ಮತ್ತು SSH ಪ್ರೋಟೋಕಾಲ್‌ಗಳಿಗಾಗಿ ಡಿಕೋಡರ್‌ಗಳು;
  • HTTP ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪಾರ್ಸ್ ಮಾಡಲು ಮತ್ತು ಸಾಮಾನ್ಯಗೊಳಿಸಲು Mod_Security ಯೋಜನೆಯ ಲೇಖಕರು ರಚಿಸಿದ ವಿಶೇಷ HTP ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುವ ಪ್ರಬಲ HTTP ಸಂಚಾರ ವಿಶ್ಲೇಷಣೆ ವ್ಯವಸ್ಥೆ. ಸಾರಿಗೆ HTTP ವರ್ಗಾವಣೆಗಳ ವಿವರವಾದ ಲಾಗ್ ಅನ್ನು ನಿರ್ವಹಿಸಲು ಮಾಡ್ಯೂಲ್ ಲಭ್ಯವಿದೆ, ಲಾಗ್ ಅನ್ನು ಪ್ರಮಾಣಿತ ಸ್ವರೂಪದಲ್ಲಿ ಉಳಿಸಲಾಗಿದೆ
    ಅಪಾಚೆ. HTTP ಪ್ರೋಟೋಕಾಲ್ ಮೂಲಕ ವರ್ಗಾಯಿಸಲಾದ ಫೈಲ್‌ಗಳ ಹೊರತೆಗೆಯುವಿಕೆ ಮತ್ತು ಪರಿಶೀಲನೆಯನ್ನು ಬೆಂಬಲಿಸಲಾಗುತ್ತದೆ. ಸಂಕುಚಿತ ವಿಷಯವನ್ನು ಪಾರ್ಸಿಂಗ್ ಮಾಡಲು ಬೆಂಬಲ. URI, ಕುಕಿ, ಹೆಡರ್‌ಗಳು, ಬಳಕೆದಾರ ಏಜೆಂಟ್, ವಿನಂತಿ/ಪ್ರತಿಕ್ರಿಯೆ ದೇಹದ ಮೂಲಕ ಗುರುತಿಸುವ ಸಾಮರ್ಥ್ಯ;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING ಸೇರಿದಂತೆ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ವಿವಿಧ ಇಂಟರ್ಫೇಸ್‌ಗಳಿಗೆ ಬೆಂಬಲ. PCAP ಸ್ವರೂಪದಲ್ಲಿ ಈಗಾಗಲೇ ಉಳಿಸಿದ ಫೈಲ್‌ಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಸಾಧ್ಯವಿದೆ;
  • ಹೆಚ್ಚಿನ ಕಾರ್ಯಕ್ಷಮತೆ, ಸಾಂಪ್ರದಾಯಿಕ ಸಾಧನಗಳಲ್ಲಿ 10 ಗಿಗಾಬಿಟ್‌ಗಳು / ಸೆಕೆಂಡಿನವರೆಗೆ ಸ್ಟ್ರೀಮ್‌ಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯ.
  • IP ವಿಳಾಸಗಳ ದೊಡ್ಡ ಸೆಟ್‌ಗಳೊಂದಿಗೆ ಹೆಚ್ಚಿನ ಕಾರ್ಯಕ್ಷಮತೆಯ ಮುಖವಾಡ ಹೊಂದಾಣಿಕೆಯ ಎಂಜಿನ್. ಮುಖವಾಡ ಮತ್ತು ನಿಯಮಿತ ಅಭಿವ್ಯಕ್ತಿಗಳ ಮೂಲಕ ವಿಷಯ ಆಯ್ಕೆಗೆ ಬೆಂಬಲ. ಹೆಸರು, ಪ್ರಕಾರ ಅಥವಾ MD5 ಚೆಕ್‌ಸಮ್ ಮೂಲಕ ಅವುಗಳ ಗುರುತಿಸುವಿಕೆ ಸೇರಿದಂತೆ ದಟ್ಟಣೆಯಿಂದ ಫೈಲ್‌ಗಳನ್ನು ಬೇರ್ಪಡಿಸುವುದು.
  • ನಿಯಮಗಳಲ್ಲಿ ಅಸ್ಥಿರಗಳನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯ: ನೀವು ಸ್ಟ್ರೀಮ್‌ನಿಂದ ಮಾಹಿತಿಯನ್ನು ಉಳಿಸಬಹುದು ಮತ್ತು ನಂತರ ಅದನ್ನು ಇತರ ನಿಯಮಗಳಲ್ಲಿ ಬಳಸಬಹುದು;
  • ಸಂರಚನಾ ಫೈಲ್‌ಗಳಲ್ಲಿ YAML ಸ್ವರೂಪವನ್ನು ಬಳಸುವುದು, ಇದು ಯಂತ್ರ ಸಂಸ್ಕರಣೆಯ ಸುಲಭವಾಗಿ ಗೋಚರತೆಯನ್ನು ಕಾಪಾಡಿಕೊಳ್ಳಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ;
  • ಪೂರ್ಣ IPv6 ಬೆಂಬಲ;
  • ಪ್ಯಾಕೆಟ್‌ಗಳ ಸ್ವಯಂಚಾಲಿತ ಡಿಫ್ರಾಗ್ಮೆಂಟೇಶನ್ ಮತ್ತು ಮರುಜೋಡಣೆಗಾಗಿ ಅಂತರ್ನಿರ್ಮಿತ ಎಂಜಿನ್, ಇದು ಪ್ಯಾಕೆಟ್‌ಗಳು ಬರುವ ಕ್ರಮವನ್ನು ಲೆಕ್ಕಿಸದೆ ಸ್ಟ್ರೀಮ್‌ಗಳ ಸರಿಯಾದ ಸಂಸ್ಕರಣೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ;
  • ಸುರಂಗ ಪ್ರೋಟೋಕಾಲ್‌ಗಳಿಗೆ ಬೆಂಬಲ: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • ಪ್ಯಾಕೆಟ್ ಡಿಕೋಡಿಂಗ್ ಬೆಂಬಲ: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, ಈಥರ್ನೆಟ್, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL ಸಂಪರ್ಕಗಳಲ್ಲಿ ಕಾಣಿಸಿಕೊಳ್ಳುವ ಕೀಗಳು ಮತ್ತು ಪ್ರಮಾಣಪತ್ರಗಳಿಗಾಗಿ ಲಾಗಿಂಗ್ ಮೋಡ್;
  • ಸುಧಾರಿತ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಒದಗಿಸಲು ಲುವಾ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಬರೆಯುವ ಸಾಮರ್ಥ್ಯ ಮತ್ತು ಪ್ರಮಾಣಿತ ನಿಯಮಗಳು ಸಾಕಷ್ಟಿಲ್ಲದ ಟ್ರಾಫಿಕ್ ಪ್ರಕಾರಗಳನ್ನು ಗುರುತಿಸಲು ಅಗತ್ಯವಿರುವ ಹೆಚ್ಚುವರಿ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ