ProHoster > Блог > интернет мэдээ > Suricata 5.0 халдлагыг илрүүлэх систем боломжтой

Suricata 5.0 халдлагыг илрүүлэх систем боломжтой

Байгууллага OISF (Нээлттэй мэдээллийн аюулгүй байдлын сан) Нийтлэгдсэн сүлжээний халдлагыг илрүүлэх, урьдчилан сэргийлэх системийг гаргах Meerkat 5.0, янз бүрийн төрлийн замын хөдөлгөөнийг шалгах хэрэгслүүдээр хангадаг. Suricata тохиргоонд үүнийг ашиглах боломжтой гарын үсгийн мэдээллийн сан, Snort төслөөс боловсруулсан, түүнчлэн дүрмийн багц Шинээр гарч ирж буй аюулууд и Emerging Threats Pro. Төслийн эх сурвалжууд тархалт GPLv2 дагуу лицензтэй.

Үндсэн өөрчлөлтүүд:

  • Протоколыг задлан шинжлэх, бүртгэх шинэ модулиудыг нэвтрүүлсэн
    Rust дээр бичигдсэн RDP, SNMP болон SIP. FTP задлан шинжлэх модуль нь одоо JSON форматаар үйл явдлын гаралтыг хангадаг EVE дэд системээр нэвтрэх боломжтой болсон;

  • Сүүлийн хувилбарт гарч ирсэн JA3 TLS үйлчлүүлэгчийг таних аргын дэмжлэгээс гадна уг аргын дэмжлэг JA3S, зөвшөөрөх Холболтын хэлэлцээрийн шинж чанар болон заасан параметрүүд дээр үндэслэн холболтыг бий болгоход ямар програм хангамжийг ашиглахыг тодорхойлох (жишээлбэл, Tor болон бусад стандарт програмуудын хэрэглээг тодорхойлох боломжийг танд олгоно). JA3 нь үйлчлүүлэгчийг тодорхойлох боломжийг олгодог бөгөөд JA3S нь серверүүдийг тодорхойлох боломжийг олгодог. Тодорхойлолтын үр дүнг дүрэм тогтоох хэл болон бүртгэлд ашиглаж болно;
  • Шинэ үйлдлүүдийг ашиглан хэрэгжүүлсэн том өгөгдлийн багцаас дээжийг тааруулах туршилтын чадварыг нэмсэн өгөгдлийн багц ба өгөгдөл. Жишээлбэл, энэ функц нь олон сая оруулга агуулсан том хар жагсаалтаас маск хайхад хамаарна;
  • HTTP шалгалтын горим нь туршилтын багцад дурдсан бүх нөхцөл байдлыг бүрэн хамардаг HTTP Evader (жишээ нь, замын хөдөлгөөнд хорлонтой үйл ажиллагааг нуун дарагдуулах арга техникийг хамарна);
  • Rust хэл дээр модулиудыг хөгжүүлэх хэрэгслүүд нь сонголтоос заавал стандарт боломжууд руу шилжсэн. Цаашид төслийн кодын суурь дахь Rust-ийн хэрэглээг өргөжүүлж, модулиудыг Rust-д боловсруулсан аналогиар аажмаар солихоор төлөвлөж байна;
  • Нарийвчлалыг сайжруулах, асинхрон хөдөлгөөний урсгалыг зохицуулахын тулд протоколын тодорхойлолтын хөдөлгүүрийг сайжруулсан;
  • Пакетуудыг тайлах үед илэрсэн ердийн бус үйл явдлуудыг хадгалдаг EVE бүртгэлд шинэ "гажиг" оруулгын төрлийг дэмжсэн. EVE нь VLAN болон траффикийн интерфейсийн талаарх мэдээллийг харуулахыг өргөжүүлсэн. EVE http бүртгэлийн оруулгууд дахь бүх HTTP толгойг хадгалах сонголтыг нэмсэн;
  • eBPF-д суурилсан боловсруулагчид пакет барих ажлыг хурдасгах техник хангамжийн механизмд дэмжлэг үзүүлдэг. Техник хангамжийн хурдатгал нь одоогоор Netronome сүлжээний адаптераар хязгаарлагдаж байгаа боловч удахгүй бусад төхөөрөмжид ашиглах боломжтой болно;
  • Nemap фреймворк ашиглан траффик авах кодыг дахин бичсэн. Виртуал шилжүүлэгч зэрэг Nemap-ийн дэвшилтэт функцуудыг ашиглах чадварыг нэмсэн VALE;
  • Нэмсэн Sticky Buffers-д зориулсан шинэ түлхүүр үг тодорхойлох схемийг дэмжих. Шинэ схемийг "protocol.buffer" форматаар тодорхойлсон, жишээлбэл, URI-г шалгахад түлхүүр үг нь "http_uri" биш "http.uri" хэлбэрийг авна;
  • Ашигласан бүх Python код нь нийцтэй эсэхийг шалгадаг
    Python3;

  • Tilera архитектур, текстийн бүртгэл dns.log болон хуучин бүртгэлийн файлууд-json.log-ийн дэмжлэгийг зогсоосон.

Suricata-ийн онцлогууд:

  • Сканнерын үр дүнг харуулахын тулд нэгдсэн форматыг ашиглах Нэгдсэн2, мөн Snort төслийн ашигладаг бөгөөд энэ нь стандарт шинжилгээний хэрэгслүүдийг ашиглах боломжийг олгодог хашааны хашаа 2. BASE, Snorby, Sguil, SQueRT бүтээгдэхүүнтэй нэгтгэх боломж. PCAP гаралтын дэмжлэг;
  • Протоколуудыг автоматаар илрүүлэх (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB гэх мэт) дэмжлэг нь портын дугаарыг заалгүйгээр зөвхөн протоколын төрлөөр дүрэмд ажиллах боломжийг олгодог (жишээ нь, HTTP-г хаах) стандарт бус порт дээрх хөдөлгөөн) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP болон SSH протоколуудын код тайлагчийн бэлэн байдал;
  • HTTP траффикийг задлан шинжилж, хэвийн болгохын тулд Mod_Security төслийн зохиогчийн бүтээсэн тусгай HTP номын санг ашигладаг хүчирхэг HTTP траффик шинжилгээний систем. Транзит HTTP шилжүүлгийн нарийвчилсан бүртгэл хөтлөх модулийг ашиглах боломжтой; лог нь стандарт форматаар хадгалагддаг.
    Апачи. HTTP-ээр дамжуулсан файлуудыг татаж авах, шалгахыг дэмждэг. Шахсан контентыг задлан шинжлэхэд дэмжлэг үзүүлэх. URI, күүки, толгой хэсэг, хэрэглэгчийн агент, хүсэлт/хариултаар тодорхойлох чадвар;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING зэрэг замын хөдөлгөөнийг таслан зогсоох янз бүрийн интерфэйсүүдийн дэмжлэг. Энэ нь аль хэдийн хадгалагдсан файлуудыг PCAP форматаар шинжлэх боломжтой;
  • Өндөр хүчин чадалтай, ердийн төхөөрөмж дээр 10 гигабит/сек хүртэлх урсгалыг боловсруулах чадвартай.
  • Том хэмжээний IP хаягуудад зориулсан өндөр хүчин чадалтай маск тохируулах механизм. Маск болон ердийн хэллэгээр контент сонгоход дэмжлэг үзүүлэх. Файлуудыг замын хөдөлгөөнөөс тусгаарлах, үүнд нэр, төрөл эсвэл MD5 шалгах нийлбэрээр нь тодорхойлох.
  • Дүрэмд хувьсагчийг ашиглах чадвар: та урсгалаас мэдээллийг хадгалж, дараа нь бусад дүрэмд ашиглах боломжтой;
  • Тохируулгын файлд YAML форматыг ашиглах нь ойлгомжтой байхын зэрэгцээ боловсруулахад хялбар байх боломжийг олгодог;
  • Бүрэн IPv6 дэмжлэг;
  • Пакет ирэх дарааллаас үл хамааран урсгалыг зөв боловсруулах боломжийг олгодог пакетуудыг автоматаар дефрагментаци хийх, дахин угсрах зориулалттай суурилуулсан хөдөлгүүр;
  • Туннелийн протоколуудын дэмжлэг: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Пакет код тайлах дэмжлэг: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL холболтонд гарч буй түлхүүр, гэрчилгээг бүртгэх горим;
  • Нарийвчилсан дүн шинжилгээ хийх, стандарт дүрэм хангалтгүй замын хөдөлгөөний төрлийг тодорхойлоход шаардлагатай нэмэлт чадварыг хэрэгжүүлэхийн тулд Луа хэл дээр скрипт бичих чадвар.

    • Эх сурвалж: opennet.ru

сэтгэгдэл нэмэх