Organizzazzjoni OISF (Open Information Security Foundation) rilaxx ta 'sistema ta' skoperta u prevenzjoni ta 'intrużjoni tan-netwerk , li tipprovdi għodda għall-ispezzjoni ta’ diversi tipi ta’ traffiku. Fil-konfigurazzjonijiet Suricata huwa possibbli li tuża , żviluppat mill-proġett Snort, kif ukoll settijiet ta' regoli и . Sorsi tal-proġett liċenzjat taħt GPLv2.
Bidliet ewlenin:
- Ġew introdotti moduli ġodda għall-parsing u l-protokolli tal-illoggjar
RDP, SNMP u SIP miktuba fis-sadid. Il-ħila li tilloggja permezz tas-subsistema EVE ġiet miżjuda mal-modulu tal-parsing tal-FTP, li tipprovdi output tal-avveniment f'format JSON; - Minbarra l-appoġġ għall-metodu ta 'identifikazzjoni tal-klijent JA3 TLS li deher fl-aħħar rilaxx, appoġġ għall-metodu , Ibbażat fuq il-karatteristiċi tan-negozjati tal-konnessjoni u l-parametri speċifikati, iddetermina liema softwer jintuża biex tiġi stabbilita konnessjoni (pereżempju, jippermettilek tiddetermina l-użu ta 'Tor u applikazzjonijiet standard oħra). JA3 jippermettilek tiddefinixxi klijenti, u JA3S tippermettilek tiddefinixxi servers. Ir-riżultati tad-determinazzjoni jistgħu jintużaw fil-lingwa tal-issettjar tar-regoli u fir-zkuk;
- Abbiltà sperimentali miżjuda biex tqabbel kampjuni minn settijiet ta 'dejta kbar, implimentati bl-użu ta' operazzjonijiet ġodda . Pereżempju, il-karatteristika hija applikabbli għat-tiftix ta 'maskri f'listi suwed kbar li fihom miljuni ta' entrati;
- Il-mod ta 'spezzjoni HTTP jipprovdi kopertura sħiħa tas-sitwazzjonijiet kollha deskritti fis-suite tat-test (eż., tkopri tekniki użati biex jaħbu attività malizzjuża fit-traffiku);
- Għodod għall-iżvilupp ta 'moduli fil-lingwa Rust ġew trasferiti minn għażliet għal kapaċitajiet standard obbligatorji. Fil-futur, huwa ppjanat li jespandi l-użu ta ' Rust fil-bażi tal-kodiċi tal-proġett u gradwalment jissostitwixxu moduli ma analogi żviluppati fil Rust;
- Il-magna tad-definizzjoni tal-protokoll ġiet imtejba biex ittejjeb l-eżattezza u timmaniġġja l-flussi tat-traffiku asinkroniċi;
- L-appoġġ għal tip ta 'dħul ġdid ta' "anomalija" ġie miżjud mar-reġistru EVE, li jaħżen avvenimenti atipiċi misjuba meta jiġu dekodifikati pakketti. EVE espandiet ukoll il-wiri ta 'informazzjoni dwar VLANs u interfaces tal-qbid tat-traffiku. Għażla miżjuda biex tissejvja l-headers HTTP kollha fl-entrati tal-log http EVE;
- Handlers ibbażati fuq l-eBPF jipprovdu appoġġ għall-mekkaniżmi tal-ħardwer biex jaċċelleraw il-qbid tal-pakketti. L-aċċelerazzjoni tal-ħardwer bħalissa hija limitata għall-adapters tan-netwerk Netronome, iżda dalwaqt se tkun disponibbli għal tagħmir ieħor;
- Il-kodiċi għall-qbid tat-traffiku bl-użu tal-qafas Netmap inkiteb mill-ġdid. Żid il-ħila li tuża karatteristiċi avvanzati ta' Netmap bħal swiċċ virtwali ;
- appoġġ għal skema ġdida ta' definizzjoni ta' keyword għal Sticky Buffers. L-iskema l-ġdida hija definita fil-format "protocol.buffer", pereżempju, għall-ispezzjoni ta 'URI, il-kelma prinċipali se tieħu l-forma "http.uri" minflok "http_uri";
- Il-kodiċi Python kollu użat huwa ttestjat għall-kompatibilità ma '
Python 3; - L-appoġġ għall-arkitettura Tilera, it-test log dns.log u l-qodma log files-json.log twaqqaf.
Karatteristiċi ta 'Suricata:
- Uża format unifikat biex turi r-riżultati tal-iskannjar , użat ukoll mill-proġett Snort, li jippermetti l-użu ta 'għodod ta' analiżi standard bħal . Possibbiltà ta 'integrazzjoni mal-prodotti BASE, Snorby, Sguil u SQueRT. Appoġġ għall-output PCAP;
- Appoġġ għall-iskoperta awtomatika ta 'protokolli (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, eċċ.), Li jippermettilek topera f'regoli biss skond it-tip ta' protokoll, mingħajr referenza għan-numru tal-port (per eżempju, blokk HTTP traffiku fuq port mhux standard). Disponibbiltà ta' decoders għal protokolli HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP u SSH;
- Sistema qawwija ta 'analiżi tat-traffiku HTTP li tuża librerija HTP speċjali maħluqa mill-awtur tal-proġett Mod_Security biex tparsa u tinnormalizza t-traffiku HTTP. Modulu huwa disponibbli għaż-żamma ta 'ġurnal dettaljat tat-trasferimenti HTTP ta' transitu; ir-reġistru huwa ssejvjat f'format standard
Apache. L-irkupru u l-iċċekkjar ta 'fajls trażmessi permezz ta' HTTP huwa appoġġjat. Appoġġ għall-parsing ta 'kontenut kompressat. Kapaċità li tidentifika permezz ta 'URI, Cookie, headers, utent-aġent, korp ta' talba/rispons; - Appoġġ għal diversi interfaces għall-interċettazzjoni tat-traffiku, inklużi NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Huwa possibbli li jiġu analizzati fajls diġà salvati fil-format PCAP;
- Prestazzjoni għolja, kapaċità li tipproċessa flussi sa 10 gigabits/sek fuq tagħmir konvenzjonali.
- Mekkaniżmu ta 'tqabbil tal-maskra ta' prestazzjoni għolja għal settijiet kbar ta 'indirizzi IP. Appoġġ għall-għażla tal-kontenut bil-maskra u l-espressjonijiet regolari. L-iżolament ta' fajls mit-traffiku, inkluża l-identifikazzjoni tagħhom bl-isem, it-tip jew is-checksum MD5.
- Kapaċità li tuża varjabbli fir-regoli: tista 'tiffranka informazzjoni minn fluss u aktar tard tużaha f'regoli oħra;
- Użu tal-format YAML f'fajls ta 'konfigurazzjoni, li jippermettilek iżżomm iċ-ċarezza filwaqt li tkun faċli biex tipproċessa l-magni;
- Appoġġ sħiħ IPv6;
- Magna inkorporata għal deframmentazzjoni awtomatika u assemblaġġ mill-ġdid tal-pakketti, li tippermetti l-ipproċessar korrett tal-flussi, irrispettivament mill-ordni li fiha jaslu l-pakketti;
- Appoġġ għall-protokolli tal-mini: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Appoġġ għad-dekodifikazzjoni tal-pakketti: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Mod għall-illoggjar ċwievet u ċertifikati li jidhru fi ħdan konnessjonijiet TLS/SSL;
- Il-ħila li tikteb skripts fil-Lua biex tipprovdi analiżi avvanzata u timplimenta kapaċitajiet addizzjonali meħtieġa biex tidentifika tipi ta 'traffiku li għalihom ir-regoli standard mhumiex biżżejjed.
Sors: opennet.ru