Rêxistina OISF (Weqfa Ewlekariya Agahdariya Vekirî) serbestberdana pergala tespîtkirin û pêşîlêgirtina destwerdana torê , ku ji bo vekolîna cûrbecûr trafîkê amûran peyda dike. Di veavakirinên Suricata de ew gengaz e ku were bikar anîn , ji hêla projeya Snort ve hatî pêşve xistin, û hem jî rêzikên qaîdeyan и . Çavkaniyên projeyê lîsansa di bin GPLv2.
Guhertinên sereke:
- Modulên nû yên ji bo protokolên parsing û têketinê hatine destnîşan kirin
RDP, SNMP û SIP bi Rust hatî nivîsandin. Kapasîteya têketinê bi bine-pergala EVE li modula parskirina FTP-ê hate zêdekirin, û derketina bûyerê bi formata JSON peyda dike; - Ji bilî piştgiriya ji bo rêbaza nasnameya xerîdar JA3 TLS ya ku di berdana paşîn de xuya bû, piştgirî ji bo rêbazê , Li ser bingeha taybetmendiyên danûstendina pêwendiyê û pîvanên diyarkirî, diyar bikin ka kîjan nermalava ji bo sazkirina pêwendiyek tê bikar anîn (mînak, ew dihêle hûn karanîna Tor û serîlêdanên standard ên din diyar bikin). JA3 destûrê dide te ku hûn xerîdaran diyar bikin, û JA3S destûrê dide we ku hûn serveran diyar bikin. Encamên destnîşankirinê dikarin di zimanê sazkirina qaîdeyan de û di qeydan de werin bikar anîn;
- Kapasîteya ceribandinê zêde kir ku nimûneyên ji berhevokên daneya mezin berhev bike, ku bi karanîna karûbarên nû ve hatî bicîh kirin . Mînakî, taybetmendî ji bo lêgerîna masûlkan di navnîşên reş ên mezin de ku bi mîlyonan navnîşan vedihewîne de derbasdar e;
- Moda teftîşa HTTP-ê hemî rewşên ku di pakêta testê de têne diyar kirin peyda dike (mînak, teknîkên ku ji bo veşartina çalakiya xerab di trafîkê de têne bikar anîn vedigire);
- Amûrên ji bo pêşxistina modulên bi zimanê Rust ji vebijarkan derbasî kapasîteyên standard ên mecbûrî bûne. Di pêşerojê de, tê plansaz kirin ku karanîna Rust di bingeha koda projeyê de berfireh bike û hêdî hêdî modulan bi analogên ku li Rust hatine pêşve xistin veguherîne;
- Motora pênasekirina protokolê ji bo baştirkirina rastbûnê û rêgirtina herikîna trafîkê ya asynchron çêtir bûye;
- Piştgiriya ji bo celebek têketina "anomalî" ya nû li têketina EVE hate zêdekirin, ku bûyerên netîpîkî yên ku dema deşîfrekirina pakêtan têne tespît kirin hildide. EVE di heman demê de pêşandana agahdariya di derbarê VLAN û navgînên girtina trafîkê de jî berfireh kiriye. Vebijarkek zêde kir ku hemî sernavên HTTP-ê di navnîşên têketina EVE http de hilîne;
- Rêvebirên-based eBPF ji bo lezkirina girtina pakêtê piştgirî ji mekanîzmayên hardware peyda dikin. Lezkirina hardware naha bi adapterên torê Netronome ve sînorkirî ye, lê dê di demek nêzîk de ji bo alavên din peyda bibe;
- Koda ji bo girtina seyrûseferê bi karanîna çarçoveya Netmap-ê ji nû ve hatî nivîsandin. Kapasîteya karanîna taybetmendiyên pêşkeftî yên Netmap-ê yên wekî veguherînek virtual zêde kir ;
- piştgirî ji bo nexşeyek pênasekirina peyva sereke ya nû ji bo Sticky Buffers. Pîlana nû di forma "protocol.buffer" de tê pênase kirin, mînakî, ji bo vekolîna URIyê, li şûna "http_uri" peyva sereke dê forma "http.uri" bigire;
- Hemî kodên Python-ê yên ku têne bikar anîn ji bo lihevhatina pê re têne ceribandin
Python3; - Piştgiriya mîmariya Tilera, têketina nivîsê dns.log û pelên têketinê yên kevn-json.log hate sekinandin.
Taybetmendiyên Suricata:
- Bikaranîna formatek yekgirtî ji bo nîşankirina encamên şopandinê , ji hêla projeya Snort ve jî tê bikar anîn, ku destûrê dide karanîna amûrên analîzên standard ên wekî . Derfeta yekbûnê bi hilberên BASE, Snorby, Sguil û SQueRT re. Piştgiriya hilberîna PCAP;
- Piştgiriya ji bo tespîtkirina otomatîkî ya protokolan (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, hwd.), ku dihêle hûn di qaîdeyan de tenê bi celebê protokolê, bêyî referansa jimara portê bixebitin (mînakî, HTTP asteng bikin seyrûsefera li ser portek ne-standard). Hebûna dekoderan ji bo protokolên HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP û SSH;
- Pergalek analîzkirina seyrûsefera HTTP-ê ya hêzdar ku pirtûkxaneyek taybetî ya HTP-ê ku ji hêla nivîskarê projeya Mod_Security ve hatî afirandin bikar tîne da ku seyrûsefera HTTP-ê parsek û normal bike. Modulek ji bo domandina têketinek hûrgulî ya veguheztinên HTTP-ya derbasbûnê heye; têketin di formek standard de tê hilanîn.
Apache. Vegerandin û kontrolkirina pelên ku bi HTTP ve hatine veguheztin piştgirî ye. Piştgiriya ji bo parskirina naveroka pêçandî. Qabiliyeta naskirina ji hêla URI, Cookie, sernav, bikarhêner-agent, laşê daxwaz / bersiv; - Piştgiriya ji bo navberên cihêreng ên ji bo astengkirina trafîkê, di nav de NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Mimkun e ku hûn pelên ku berê hatine hilanîn di formata PCAP de analîz bikin;
- Performansa bilind, şiyana pêvajoyê diherike heya 10 gigabits / sec li ser alavên kevneşopî.
- Mekanîzmaya berhevkirina maskê ya bi performansa bilind ji bo komên mezin ên navnîşanên IP-yê. Piştgiriya hilbijartina naverokê ji hêla mask û birêkûpêk ve. Veqetandina pelan ji seyrûseferê, tevî nasnameya wan bi nav, celeb an kontrolkirina MD5.
- Qabiliyeta bikaranîna guherbaran di qaîdeyan de: hûn dikarin agahiyê ji herikekê hilînin û paşê di qaîdeyên din de bikar bînin;
- Bikaranîna formata YAML di pelên vesazkirinê de, ku dihêle hûn zelaliyê biparêzin dema ku meriv pêvajoyek makîneyê hêsan e;
- Piştgiriya tevahî IPv6;
- Motora çêkirî ya ji bo defragmentation û ji nû ve berhevkirina pakêtan, ku rê dide hilberandina rast a çeman, bêyî ku rêza ku pakêt bigihîje;
- Piştgiriya ji bo protokolên tunekirinê: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Piştgiriya dekodkirina pakêtê: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Moda ji bo têketina bişkok û sertîfîkayên ku di nav girêdanên TLS/SSL de xuya dibin;
- Qabiliyeta nivîsandina nivîsarên li Lua ji bo peydakirina analîzên pêşkeftî û bicîhanîna kapasîteyên din ên ku ji bo naskirina celebên seyrûseferê yên ku qaîdeyên standard têrê nakin têne peyda kirin.
Source: opennet.ru