प्रोहोस्टर > Блог > इंटरनेट बातम्या > Suricata 6.0 घुसखोरी शोध प्रणालीचे प्रकाशन

Suricata 6.0 घुसखोरी शोध प्रणालीचे प्रकाशन

После года разработки организация OISF (Open Information Security Foundation) प्रकाशित नेटवर्क घुसखोरी शोधणे आणि प्रतिबंध प्रणाली सोडणे मीर्कॅट 6.0, जे विविध प्रकारच्या रहदारीची तपासणी करण्यासाठी साधने प्रदान करते. Suricata कॉन्फिगरेशनमध्ये ते वापरणे शक्य आहे स्वाक्षरी डेटाबेस, Snort प्रकल्पाद्वारे विकसित केले आहे, तसेच नियमांचे संच उदयोन्मुख धोके и उदयोन्मुख धोके प्रो. प्रकल्प स्रोत प्रसार GPLv2 अंतर्गत परवानाकृत.

मुख्य बदल:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (हॅश).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Suricata ची वैशिष्ट्ये:

  • स्कॅन परिणाम प्रदर्शित करण्यासाठी युनिफाइड फॉरमॅट वापरणे युनिफाइड2, Snort प्रकल्पाद्वारे देखील वापरले जाते, जे मानक विश्लेषण साधनांचा वापर करण्यास अनुमती देते जसे की बार्नयार्ड2. BASE, Snorby, Sguil आणि SQueRT उत्पादनांसह एकत्रीकरणाची शक्यता. PCAP आउटपुट समर्थन;
  • प्रोटोकॉल (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, इ.) च्या स्वयंचलित शोधासाठी समर्थन, पोर्ट नंबरचा संदर्भ न घेता, तुम्हाला फक्त प्रोटोकॉल प्रकारानुसार नियमांमध्ये ऑपरेट करण्याची परवानगी देते (उदाहरणार्थ, HTTP ब्लॉक करा. नॉन-स्टँडर्ड पोर्टवरील रहदारी). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP आणि SSH प्रोटोकॉलसाठी डीकोडरची उपलब्धता;
  • HTTP ट्रॅफिक पार्स आणि सामान्य करण्यासाठी Mod_Security प्रकल्पाच्या लेखकाने तयार केलेली विशेष HTP लायब्ररी वापरणारी एक शक्तिशाली HTTP रहदारी विश्लेषण प्रणाली. ट्रान्झिट HTTP हस्तांतरणाचा तपशीलवार लॉग राखण्यासाठी मॉड्यूल उपलब्ध आहे; लॉग मानक स्वरूपात जतन केला जातो
    अपाचे. HTTP द्वारे प्रसारित केलेल्या फाइल्स पुनर्प्राप्त करणे आणि तपासणे समर्थित आहे. संकुचित सामग्री विश्लेषित करण्यासाठी समर्थन. URI, कुकी, शीर्षलेख, वापरकर्ता-एजंट, विनंती/प्रतिसाद मुख्य भागाद्वारे ओळखण्याची क्षमता;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING सह ट्रॅफिक इंटरसेप्शनसाठी विविध इंटरफेससाठी समर्थन. PCAP स्वरूपात आधीच जतन केलेल्या फायलींचे विश्लेषण करणे शक्य आहे;
  • उच्च कार्यक्षमता, पारंपारिक उपकरणांवर 10 गिगाबिट्स/सेकंद पर्यंत प्रवाह प्रक्रिया करण्याची क्षमता.
  • IP पत्त्यांच्या मोठ्या संचांसाठी उच्च-कार्यक्षमता मुखवटा जुळणारी यंत्रणा. मुखवटा आणि नियमित अभिव्यक्तीद्वारे सामग्री निवडण्यासाठी समर्थन. नाव, प्रकार किंवा MD5 चेकसम द्वारे त्यांची ओळख यासह ट्रॅफिकमधून फाइल्स वेगळे करणे.
  • नियमांमध्ये चल वापरण्याची क्षमता: तुम्ही प्रवाहातील माहिती जतन करू शकता आणि नंतर ती इतर नियमांमध्ये वापरू शकता;
  • कॉन्फिगरेशन फाइल्समध्ये YAML फॉरमॅटचा वापर, जे तुम्हाला मशीन प्रक्रियेसाठी सोपे असताना स्पष्टता राखण्यास अनुमती देते;
  • पूर्ण IPv6 समर्थन;
  • स्वयंचलित डीफ्रॅगमेंटेशन आणि पॅकेट्सच्या पुन्हा एकत्रीकरणासाठी अंगभूत इंजिन, पॅकेट कोणत्या क्रमाने येतात याची पर्वा न करता प्रवाहांची योग्य प्रक्रिया करण्यास अनुमती देते;
  • टनेलिंग प्रोटोकॉलसाठी समर्थन: टेरेडो, आयपी-आयपी, आयपी6-आयपी4, आयपी4-आयपी6, जीआरई;
  • पॅकेट डीकोडिंग समर्थन: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, इथरनेट, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL कनेक्शनमध्ये लॉगिंग की आणि प्रमाणपत्रे दिसण्यासाठी मोड;
  • प्रगत विश्लेषण प्रदान करण्यासाठी आणि ट्रॅफिकचे प्रकार ओळखण्यासाठी आवश्यक असलेल्या अतिरिक्त क्षमता लागू करण्यासाठी लुआमध्ये स्क्रिप्ट लिहिण्याची क्षमता ज्यासाठी मानक नियम पुरेसे नाहीत.

स्त्रोत: opennet.ru

एक टिप्पणी जोडा