Cisco компаниясы толугу менен кайра иштелип чыккан чабуулдун алдын алуу системасынын акыркы бета версиясы , ошондой эле 2005-жылдан бери үзгүлтүксүз иштеп келе жаткан Snort++ долбоору катары белгилүү. Релиздик талапкер ушул жылдын аягында жарыяланышы пландалууда.
Жаңы филиалда продукциянын концепциясы толугу менен кайра каралып, архитектурасы кайра иштелип чыккан. Жаңы филиалды даярдоодо баса белгиленген багыттардын арасында Snortту орнотууну жана ишке киргизүүнү жөнөкөйлөтүү, конфигурацияны автоматташтыруу, эрежелерди түзүү тилин жөнөкөйлөштүрүү, бардык протоколдорду автоматтык түрдө аныктоо, командадан башкаруу үчүн кабык менен камсыздоо болду. линия, ар кандай процессорлордун бирдиктүү конфигурацияга жалпы кирүү мүмкүнчүлүгү менен көп агымды активдүү колдонуу.
Төмөнкү олуттуу инновациялар ишке киргизилди:
- Жөнөкөйлөштүрүлгөн синтаксисти сунуштаган жана орнотууларды динамикалык түрдө генерациялоо үчүн скрипттерди колдонууга мүмкүндүк берүүчү жаңы конфигурация системасына өтүү жасалды. LuaJIT конфигурация файлдарын иштетүү үчүн колдонулат. LuaJIT негизиндеги плагиндер эрежелердин кошумча варианттарын жана журналдарды каттоо тутумун ишке ашыруу менен камсыз кылынат;
- Чабуулдарды аныктоо кыймылдаткычы модернизацияланды, эрежелер жаңыртылды жана эрежелердеги буферлерди байлоо мүмкүнчүлүгү (жабышчаак буферлер) кошулду. Hyperscan издөө системасы колдонулган, бул эрежелердеги кадимки туюнтмалардын негизинде тез жана так иштетилген үлгүлөрдү колдонууга мүмкүндүк берди;
- Сеанс абалын эске алган жана сыноо топтому колдогон жагдайлардын 99% камтыган HTTP үчүн жаңы интроспекция режими кошулду . HTTP/2 колдоо коду иштелип чыгууда;
- Терең пакетти текшерүү режиминин иштеши бир топ жакшырды. Пакет процессорлору менен бир эле учурда бир нече жиптерди аткарууга мүмкүндүк берүүчү жана CPU өзөктөрүнүн санына жараша сызыктуу масштабдуулукту камсыз кылуучу, көп жиптүү пакеттерди иштетүү мүмкүнчүлүгү кошулду;
- Жалпы конфигурация сактагычы жана атрибут таблицалары ишке ашырылды, ал ар түрдүү подсистемалардын ортосунда бөлүштүрүлөт, бул маалыматтын кайталанышын жок кылуу менен эстутум керектөөнү кыйла кыскартты;
- JSON форматын колдонгон жаңы окуяларды каттоо системасы жана Elastic Stack сыяктуу тышкы платформалар менен оңой интеграцияланган;
- Модулдук архитектурага өтүү, плагиндерди туташтыруу жана алмаштырылуучу плагиндер түрүндөгү негизги подсистемаларды ишке ашыруу аркылуу функционалдуулукту кеңейтүү мүмкүнчүлүгү. Учурда Snort 3 үчүн бир нече жүздөгөн плагиндер ишке ашырылган, алар колдонуунун ар кандай чөйрөлөрүн камтыган, мисалы, өзүңүздүн кодектериңизди, интроспекция режимдерин, журналга жазуу ыкмаларын, аракеттерди жана эрежелерге опцияларды кошууга мүмкүндүк берет;
- Иштеп жаткан кызматтарды автоматтык түрдө аныктоо, активдүү тармак портторун кол менен көрсөтүү зарылдыгын жок кылуу.
2018-жылы жарыяланган акыркы сыноо релизине салыштырмалуу өзгөрүүлөр:
- Демейки конфигурацияга салыштырмалуу жөндөөлөрдү тез эле жокко чыгаруу үчүн файлдарды колдоо кошулду;
- Код C++ 14 стандартында аныкталган C++ конструкцияларын колдонуу мүмкүнчүлүгүн камсыздайт (курууга C++ 14ти колдогон компилятор керек);
- Жаңы VXLAN иштеткич кошулду;
- Жаңыртылган альтернативалуу алгоритмдерди колдонуу менен мазмун боюнча мазмун түрлөрүн издөө жакшыртылды и ;
- HTTP/2 трафикти текшерүү системасы дээрлик толук даяр абалга келтирилди;
- Эрежелердин топторун түзүү үчүн бир нече жиптерди колдонуу менен баштоо тездетет;
- Жаңы журналды каттоо механизми кошулду;
- Lua каталарын аныктоо жана оптималдаштырылган ак тизмелер жакшыртылды;
- Жөндөөлөрдү тез арада кайра жүктөөгө уруксат берүү үчүн өзгөртүүлөр киргизилди;
- Тармакта жеткиликтүү ресурстар, хосттор, тиркемелер жана кызматтар жөнүндө маалыматты чогултуучу РНК (реалдуу убакыттагы тармакты билүү) текшерүү системасы кошулду;
- Конфигурацияны жөнөкөйлөтүү үчүн snort_config.lua жана SNORT_LUA_PATH колдонуу токтотулду.
Source: opennet.ru