ProHoster > Блог > интернет мэдээ > Suricata 6.0 халдлага илрүүлэх системийг гаргалаа

Suricata 6.0 халдлага илрүүлэх системийг гаргалаа

Нэг жилийн хөгжлийн дараа OISF (Нээлттэй мэдээллийн аюулгүй байдлын сан) байгууллага Нийтлэгдсэн сүлжээний халдлагыг илрүүлэх, урьдчилан сэргийлэх системийг гаргах Meerkat 6.0, янз бүрийн төрлийн замын хөдөлгөөнийг шалгах хэрэгслүүдээр хангадаг. Suricata тохиргоонд үүнийг ашиглах боломжтой гарын үсгийн мэдээллийн сан, Snort төслөөс боловсруулсан, түүнчлэн дүрмийн багц Шинээр гарч ирж буй аюулууд и Emerging Threats Pro. Төслийн эх сурвалжууд тархалт GPLv2 дагуу лицензтэй.

Үндсэн өөрчлөлтүүд:

  • HTTP/2-ийн анхны дэмжлэг.
  • RFB болон MQTT протоколуудыг дэмжих, үүнд протоколыг тодорхойлох, бүртгэл хөтлөх боломжтой.
  • DCERPC протоколд бүртгэл хийх боломж.
  • JSON форматаар үйл явдлын гаралтыг хангадаг EVE дэд системээр дамжуулан бүртгэлийн гүйцэтгэлийг мэдэгдэхүйц сайжруулсан. Rust хэл дээр бичигдсэн шинэ JSON хувьцаа бүтээгчийг ашигласны ачаар хурдатгалд хүрсэн.
  • EVE бүртгэлийн системийн өргөтгөх чадвар нэмэгдэж, хэлхээ тус бүрт тусдаа бүртгэлийн файл хөтлөх боломжийг хэрэгжүүлсэн.
  • Бүртгэлд мэдээллийг дахин тохируулах нөхцөлийг тодорхойлох чадвар.
  • MAC хаягуудыг EVE бүртгэлд тусгах, DNS бүртгэлийн дэлгэрэнгүй мэдээллийг нэмэгдүүлэх боломж.
  • Урсгал хөдөлгүүрийн ажиллагааг сайжруулах.
  • SSH хэрэгжилтийг тодорхойлоход дэмжлэг үзүүлэх (HASSH).
  • GENEVE туннелийн декодерийн хэрэгжилт.
  • Боловсруулах кодыг Rust хэлээр дахин бичсэн ASN.1, DCERPC болон SSH. Rust мөн шинэ протоколуудыг дэмждэг.
  • Дүрмийн тодорхойлолтын хэлэнд byte_jump түлхүүр үгэнд from_end параметрийн дэмжлэг, byte_test дээр bitmask параметрийн дэмжлэг нэмэгдсэн. Дэд мөрийг авахын тулд ердийн илэрхийлэл (pcre) ашиглахыг зөвшөөрөхийн тулд pcrexform түлхүүр үгийг хэрэгжүүлсэн. Urldecode хөрвүүлэлтийг нэмсэн. byte_math түлхүүр үг нэмсэн.
  • Rust болон C хэл дээр холболт үүсгэхийн тулд cbindgen ашиглах боломжийг олгодог.
  • Анхны залгаасын дэмжлэгийг нэмсэн.

Suricata-ийн онцлогууд:

  • Сканнерын үр дүнг харуулахын тулд нэгдсэн форматыг ашиглах Нэгдсэн2, мөн Snort төслийн ашигладаг бөгөөд энэ нь стандарт шинжилгээний хэрэгслүүдийг ашиглах боломжийг олгодог хашааны хашаа 2. BASE, Snorby, Sguil, SQueRT бүтээгдэхүүнтэй нэгтгэх боломж. PCAP гаралтын дэмжлэг;
  • Протоколуудыг автоматаар илрүүлэх (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB гэх мэт) дэмжлэг нь портын дугаарыг заалгүйгээр зөвхөн протоколын төрлөөр дүрэмд ажиллах боломжийг олгодог (жишээ нь, HTTP-г хаах) стандарт бус порт дээрх хөдөлгөөн) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP болон SSH протоколуудын код тайлагчийн бэлэн байдал;
  • HTTP траффикийг задлан шинжилж, хэвийн болгохын тулд Mod_Security төслийн зохиогчийн бүтээсэн тусгай HTP номын санг ашигладаг хүчирхэг HTTP траффик шинжилгээний систем. Транзит HTTP шилжүүлгийн нарийвчилсан бүртгэл хөтлөх модулийг ашиглах боломжтой; лог нь стандарт форматаар хадгалагддаг.
    Апачи. HTTP-ээр дамжуулсан файлуудыг татаж авах, шалгахыг дэмждэг. Шахсан контентыг задлан шинжлэхэд дэмжлэг үзүүлэх. URI, күүки, толгой хэсэг, хэрэглэгчийн агент, хүсэлт/хариултаар тодорхойлох чадвар;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING зэрэг замын хөдөлгөөнийг таслан зогсоох янз бүрийн интерфэйсүүдийн дэмжлэг. Энэ нь аль хэдийн хадгалагдсан файлуудыг PCAP форматаар шинжлэх боломжтой;
  • Өндөр хүчин чадалтай, ердийн төхөөрөмж дээр 10 гигабит/сек хүртэлх урсгалыг боловсруулах чадвартай.
  • Том хэмжээний IP хаягуудад зориулсан өндөр хүчин чадалтай маск тохируулах механизм. Маск болон ердийн хэллэгээр контент сонгоход дэмжлэг үзүүлэх. Файлуудыг замын хөдөлгөөнөөс тусгаарлах, үүнд нэр, төрөл эсвэл MD5 шалгах нийлбэрээр нь тодорхойлох.
  • Дүрэмд хувьсагчийг ашиглах чадвар: та урсгалаас мэдээллийг хадгалж, дараа нь бусад дүрэмд ашиглах боломжтой;
  • Тохируулгын файлд YAML форматыг ашиглах нь ойлгомжтой байхын зэрэгцээ боловсруулахад хялбар байх боломжийг олгодог;
  • Бүрэн IPv6 дэмжлэг;
  • Пакет ирэх дарааллаас үл хамааран урсгалыг зөв боловсруулах боломжийг олгодог пакетуудыг автоматаар дефрагментаци хийх, дахин угсрах зориулалттай суурилуулсан хөдөлгүүр;
  • Туннелийн протоколуудын дэмжлэг: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Пакет код тайлах дэмжлэг: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL холболтонд гарч буй түлхүүр, гэрчилгээг бүртгэх горим;
  • Нарийвчилсан дүн шинжилгээ хийх, стандарт дүрэм хангалтгүй замын хөдөлгөөний төрлийг тодорхойлоход шаардлагатай нэмэлт чадварыг хэрэгжүүлэхийн тулд Луа хэл дээр скрипт бичих чадвар.

Эх сурвалж: opennet.ru

сэтгэгдэл нэмэх