ProHoster > Blog > nûçeyên înternetê > Serbestberdana pergala tespîtkirina ketina Suricata 6.0

Serbestberdana pergala tespîtkirina ketina Suricata 6.0

После года разработки организация OISF (Open Information Security Foundation) weşandin serbestberdana pergala tespîtkirin û pêşîlêgirtina destwerdana torê Meerkat 6.0, ku ji bo vekolîna cûrbecûr trafîkê amûran peyda dike. Di veavakirinên Suricata de ew gengaz e ku were bikar anîn databases îmze, ji hêla projeya Snort ve hatî pêşve xistin, û hem jî rêzikên qaîdeyan Gefên Derketî и Gefên Derketî Pro. Çavkaniyên projeyê belavbûn lîsansa di bin GPLv2.

Guhertinên sereke:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Taybetmendiyên Suricata:

  • Bikaranîna formatek yekgirtî ji bo nîşankirina encamên şopandinê Yekgirtî2, ji hêla projeya Snort ve jî tê bikar anîn, ku destûrê dide karanîna amûrên analîzên standard ên wekî barnyard2. Derfeta yekbûnê bi hilberên BASE, Snorby, Sguil û SQueRT re. Piştgiriya hilberîna PCAP;
  • Piştgiriya ji bo tespîtkirina otomatîkî ya protokolan (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, hwd.), ku dihêle hûn di qaîdeyan de tenê bi celebê protokolê, bêyî referansa jimara portê bixebitin (mînakî, HTTP asteng bikin seyrûsefera li ser portek ne-standard). Hebûna dekoderan ji bo protokolên HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP û SSH;
  • Pergalek analîzkirina seyrûsefera HTTP-ê ya hêzdar ku pirtûkxaneyek taybetî ya HTP-ê ku ji hêla nivîskarê projeya Mod_Security ve hatî afirandin bikar tîne da ku seyrûsefera HTTP-ê parsek û normal bike. Modulek ji bo domandina têketinek hûrgulî ya veguheztinên HTTP-ya derbasbûnê heye; têketin di formek standard de tê hilanîn.
    Apache. Vegerandin û kontrolkirina pelên ku bi HTTP ve hatine veguheztin piştgirî ye. Piştgiriya ji bo parskirina naveroka pêçandî. Qabiliyeta naskirina ji hêla URI, Cookie, sernav, bikarhêner-agent, laşê daxwaz / bersiv;

  • Piştgiriya ji bo navberên cihêreng ên ji bo astengkirina trafîkê, di nav de NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Mimkun e ku hûn pelên ku berê hatine hilanîn di formata PCAP de analîz bikin;
  • Performansa bilind, şiyana pêvajoyê diherike heya 10 gigabits / sec li ser alavên kevneşopî.
  • Mekanîzmaya berhevkirina maskê ya bi performansa bilind ji bo komên mezin ên navnîşanên IP-yê. Piştgiriya hilbijartina naverokê ji hêla mask û birêkûpêk ve. Veqetandina pelan ji seyrûseferê, tevî nasnameya wan bi nav, celeb an kontrolkirina MD5.
  • Qabiliyeta bikaranîna guherbaran di qaîdeyan de: hûn dikarin agahiyê ji herikekê hilînin û paşê di qaîdeyên din de bikar bînin;
  • Bikaranîna formata YAML di pelên vesazkirinê de, ku dihêle hûn zelaliyê biparêzin dema ku meriv pêvajoyek makîneyê hêsan e;
  • Piştgiriya tevahî IPv6;
  • Motora çêkirî ya ji bo defragmentation û ji nû ve berhevkirina pakêtan, ku rê dide hilberandina rast a çeman, bêyî ku rêza ku pakêt bigihîje;
  • Piştgiriya ji bo protokolên tunekirinê: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Piştgiriya dekodkirina pakêtê: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Moda ji bo têketina bişkok û sertîfîkayên ku di nav girêdanên TLS/SSL de xuya dibin;
  • Qabiliyeta nivîsandina nivîsarên li Lua ji bo peydakirina analîzên pêşkeftî û bicîhanîna kapasîteyên din ên ku ji bo naskirina celebên seyrûseferê yên ku qaîdeyên standard têrê nakin têne peyda kirin.

Source: opennet.ru

Add a comment