OISF (Open Information Security Foundation) á¡ááœá²á·á
á¡áááááŒá±á¬ááºážáá²ááŸá¯áá»á¬áž-
- áááá¯ááá¯áá±á¬áá»á¬ážá¡ááœáẠááœá²ááŒááºážá
áááºááŒá¬ááŒááºážááŸáá·áº ááŸááºáááºážáá±ážááŒááºáž áá±á¬áºáá»á°ážá¡áá
áºáá»á¬ážááᯠááááºáááºáá²á·áááºá
RDPá SNMP ááŸáá·áº SIP ááᯠââRust ááŒáá·áºáá±ážáá¬ážáááºá JSON áá±á¬áºáááºááŸá ááŒá áºáááºáá»á¬ážá á¡ááœááºááᯠáá¶á·ááá¯ážáá±ážááá·áº EVE á áá áºááœá²ááŸáá áºááá·áº áá±á¬á·ááºáá¯ááºááá¯ááºá áœááºážááᯠFTP ááœá²ááŒááºážá áááºááŒá¬ááŸá¯ áá±á¬áºáá»á°ážááœáẠááá·áºááœááºážáá¬ážáááºá - ááááºáá¯ááºáá±ááŸá¯ááœááºááááºáááºáá²á·áá±á¬ JA3 TLS áááá¯ááºážááá·áºá
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒáááºážáááºážá¡ááœáẠáá¶á·ááá¯ážááŸá¯á¡ááŒáẠáááºážáááºážá¡ááœáẠáá¶á·ááá¯ážááŸá¯á
JA3S ,ááœáá·áºááŒá¯ááŒááºážá áá»áááºáááºááŸá¯ááŸáááŸáá¯ááºážááŸá¯á áá®ážááŒá¬ážáá»á¬ážááŸáá·áº áááºááŸááºáá¬ážáá±á¬ ááá·áºáááºáá±á¬ááºáá»á¬ážáá±á«áºááœáẠá¡ááŒá±áá¶á áááºááá·áºáá±á¬á·ááºáá²ááºááᯠáá»áááºáááºááŸá¯áá áºáá¯ááᯠáááºáá±á¬ááºááẠá¡áá¯á¶ážááŒá¯ááŒá±á¬ááºáž áá¯á¶ážááŒááºáá« (á¥ááá¬á áááºážááẠááá·áºá¡á¬áž Tor ááŸáá·áº á¡ááŒá¬ážáá¯á¶ááŸááºá¡ááá®áá±ážááŸááºážáá»á¬ážá¡áá¯á¶ážááŒá¯ááŸá¯ááᯠáá¯á¶ážááŒááºáááºááœáá·áºááŒá¯áááº)á JA3 ááẠclients áá»á¬ážááŸáá·áº JA3S - servers áá»á¬ážááᯠáááºááŸááºááẠááŒá áºááá¯ááºáááºá áá¯á¶ážááŒááºááŒááºážáááááºáá»á¬ážááᯠá ááºážáá»ááºážáááºááŸááºááŒááºážáá¬áá¬á áá¬ážááŸáá·áº ááŸááºáááºážáá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá - áá¯ááºáá±á¬ááºáá»ááºá¡áá
áºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á á¡áá±á¬ááºá¡áááºáá±á¬áºááá·áº ááŒá®ážáá¬ážáá±á¬áá±áá¬á¡ááœá²ááá°áá¬áá
áºáá¯ááŸáá·áº ááá¯ááºáá®ááẠá
ááºážáááºááá¯ááºá
áœááºážááᯠáááºáá±á¬ááºážááá·áºáá¬ážáááºá
dataset ááŸáá·áº datarep . á¥ááá¬á¡á¬ážááŒáá·áºá ááá·áºááœááºážááŸá¯ áááºážáá±á«ááºážáá»á¬ážá áœá¬ááŸááá±á¬ ááŒá®ážáá¬ážáá±á¬ á¡áááºáá»ááºá á¬áááºážáá»á¬ážááœáẠáá»ááºááŸá¬áá¯á¶ážáá»á¬ážááᯠááŸá¬ááœá±ááŒááºážá¡ááœáẠáá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá - HTTP á
á
áºáá±ážááŒááºážáá¯ááºááẠá
ááºážáááºááŸá¯á¡á
á¯á¶ááœááºáá±á¬áºááŒáá¬ážááá·áº á¡ááŒá±á¡áá±á¡á¬ážáá¯á¶ážááᯠá¡ááŒáá·áºá¡áááœáŸááºážááŒá¯á¶áá±ážáá«áááºá
HTTP Evader (á¥ááá¬á áá¬ááºá¡ááœá¬ážá¡áá¬ááœáẠá¡áá¹ááá¬ááºááŸááá±á¬ áá¯ááºáá±á¬ááºáá»ááºááᯠáá¯á¶ážááœááºááẠá¡áá¯á¶ážááŒá¯ááá·áº áááºážáááºážáá»á¬ážááᯠáá¯á¶ážá¡á¯ááºáá¬ážáááº)á - Rust module ááœá¶á·ááŒáá¯ážááá¯ážáááºáá±ážáááááá¬áá»á¬ážááᯠááœá±ážáá»ááºááŸá¯áá»á¬ážá០ááá¯á¡ááºáá±á¬ á á¶á¡ááºá¹áá«áááºáá»á¬ážáá®ááá¯á· ááœáŸá±á·ááá¯ááºáá«ááŒá®á á¡áá¬áááºááœááºá ááá±á¬áá»ááºááá¯ááºá¡ááŒá±áá¶ááœáẠRust á¡áá¯á¶ážááŒá¯ááŸá¯ááᯠáá»á²á·ááœááºááẠá á®á ááºáá¬ážááŒá®áž Rust ááœáẠáááºáá®ážáá¬ážáá±á¬ analogues áá»á¬ážááŒáá·áº áá±á¬áºáá»á°ážáá»á¬ážááᯠáááŒááºážááŒááºáž á¡á á¬ážááá¯ážááẠá á®á ááºáá¬ážáááºá
- áááá¯ááá¯áá±á¬ áá±á¬ááºááŸááºážááŒááºáž á¡ááºáá»ááºááᯠáááá»ááŸá¯ááŸáá·áº á¡áá®á¡ááœáẠáááºážááŒá±á¬ááºáž á á®ážáááºážááŸá¯áá»á¬ážááᯠááá¯ááºááœááºáá¬ááœáẠááá¯ááá¯áá±á¬ááºážááœááºá¡á±á¬áẠááŒá¯áá¯ááºáá¬ážáááºá
- áááºáá±á·áá»áºáá»á¬ážááᯠáá¯ááºáá¶áá«ááºáá¯á¶ážááá·áºá¡áá« ááœá±á·ááŸááááá·áº áá¯á¶ááŸááºááŒá áºáááºáá»á¬ážááᯠááááºážáááºážáá¬ážááá·áº á á¶áá»áááºá¡áá áºáá áºáá¯á¡ááœáẠáá¶á·ááá¯ážááŸá¯á¡á¬áž EVE ááŸááºáááºážááœáẠááá·áºááœááºážáá¬ážáááºá EVE ááẠVLAN áá»á¬ážááŸáá·áº traffic capture interfaces áá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááŒáááŸá¯ááá¯áááºáž ááá¯ážáá»á²á·áá²á·áááºá EVE ááŸááºáááºáž http entries áá»á¬ážááœáẠHTTP áá±á«ááºážá á®ážáá»á¬ážá¡á¬ážáá¯á¶ážááᯠááááºážáááºážááẠáááºáá±á¬ááºážááœá±ážáá»ááºááŸá¯á
- eBPF-based áááºááá¯ááºáááááá¬áá»á¬ážááẠpacket ááá¯á¡ááŸáááºááŒáŸáá·áºáááºá¡ááœáẠáá¬á·ááºáá²ááá¹ááá¬ážáá»á¬ážá¡ááœáẠáá¶á·ááá¯ážááŸá¯áá±ážáá«áááºá áá¬á·ááºáá²á¡ááŸáááºááŒáŸáá·áºááŒááºážááᯠáá±á¬áá±á¬áááºááœáẠNetronome ááœááºáááºá¡áááºáá¬áá»á¬ážááœáẠááá·áºáááºáá¬ážáá±á¬áºáááºáž á¡ááŒá¬ážá ááºáá á¹á ááºážáá»á¬ážá¡ááœáẠáááŒá¬áá®áá±á«áºáá¬áá«áááºá
- Netmap áá°áá±á¬ááºááᯠá¡áá¯á¶ážááŒá¯á á¡ááœá¬ážá¡áá¬áááºážáá°áááºá¡ááœáẠááŒááºáááºáá±ážáá¬ážáá¬ážáá±á¬áá¯ááºá virtual switch áá²á·ááá¯á·áá±á¬ á¡ááá·áºááŒáá·áº Netmap á¡ááºá¹áá«áááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºááá·áº á
áœááºážáááºááᯠááá·áºááœááºážáá¬ážáááºá
ááŒáá¯áá»á· ; -
áááºááŒá±á¬áá«áááºá Sticky Buffers á¡ááœáẠáá±á¬á·áá»ááºá áá¬ážáá¯á¶áž á¡áááá¹áá«ááºááœáá·áºááá¯áá»ááºá¡áá áºá¡ááœáẠáá¶á·ááá¯ážááŸá¯á á¡á á®á¡á á¥áºá¡áá áºááᯠprotocol.buffer áá±á¬áºáááºááŒáá·áº áááºááŸááºáá¬ážáááºá á¥ááá¬á¡á¬ážááŒáá·áº URI áá áºáá¯ááᯠá á°ážá ááºážáá±á·áá¬áááºá á¡áááá áá¬ážáá¯á¶ážááŸá¬ "http_uri" á¡á á¬áž "http.uri" ááŒá áºáááá·áºáááºá - á¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ Python áá¯ááºá¡á¬ážáá¯á¶ážááŸáá·áº ááœá²áááºá¡áá¯á¶ážááŒá¯ááá¯ááºááẠá
ááºážáááºáá¬ážáááºá
Python3; - Tilera áááá¯áá¬á¡ááœáẠáá¶á·ááá¯ážááŸá¯á dns.log á á¬áá¬ážááŸááºáááºážááŸáá·áº ááá¯ááºáá±á¬ááºáž-json.log ááŸááºáááºážááᯠáááºááá¯ááºážááá¯ááºáá«ááŒá®á
Suricata áá¡ááºá¹áá«áááºáá»á¬áž
- á¡áááºááŒá¯áá»ááºááááºáá»á¬ážááá¯ááŒáááẠáá
áºá
á¯áá
áºá
ááºážáááºážáá±á¬áºáááºááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá
áá áºá á¯áá áºá ááºážáááºáž á Snort ááá±á¬áá»ááºááŸáááºáž á¡áá¯á¶ážááŒá¯áá¬ážááŒá®ážá áá²á·ááá¯á·áá±á¬ á á¶ááœá²ááŒááºážá áááºááŒá¬ááŸá¯áááááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááœáá·áºáá±ážáááºáá áá«ážááŒá¶á . BASEá Snorbyá Sguil ááŸáá·áº SQueRT áá¯ááºáá¯ááºáá»á¬ážááŸáá·áº áá±á«ááºážá ááºááá¯ááºááŸá¯á PCAP áá±á¬áºáááºááŒáá·áº ááœááºááŸáááŸá¯á¡ááœáẠáá¶á·ááá¯ážááŸá¯á - áááá¯ááá¯áá±á¬áá»á¬áž á¡ááá¯á¡áá»á±á¬áẠáá±á¬ááºááŸááºážááŒááºáž (IPá TCPá UDPá ICMPá HTTPá TLSá FTPá SMB á áááºááŒáá·áº) ááẠááá·áºá¡á¬áž ááá¯á·ááºáá¶áá«ááºááᯠáááºááœáŸááºážááŒááºážáááŸááá² á ááºážáá»ááºážáá»á¬ážááœááºáᬠáá¯ááºáá±á¬ááºááẠááœáá·áºááŒá¯ááá·áº áááá¯ááá¯áá±á¬á¡áá»áá¯ážá¡á á¬áž (á¥ááá¬á á á¶ááá¯ááºáá±á¬ port áá áºáá¯áá±á«áºááœáẠHTTP á¡ááœá¬ážá¡áá¬ááá¯ááááºááá¯á·áááºá HTTPá SSLá TLSá SMBá SMB2á DCERPCá SMTPá FTP ááŸáá·áº SSH áááá¯ááá¯áá±á¬áá»á¬ážá¡ááœáẠáá¯ááºáá¶áá«ááºáá»á¬áž
- HTTP á¡ááœá¬ážá¡áá¬ááᯠááœá²ááŒááºážá
áááºááŒá¬ááŒá®áž áá¯á¶ááŸááºááŒá
áºá
á±ááẠMod_Security ááá±á¬áá»ááºáá±ážáá¬ážáá°á០áááºáá®ážáá¬ážááá·áº á¡áá°áž HTP á
á¬ááŒáá·áºááá¯ááºááᯠá¡áá¯á¶ážááŒá¯ááá·áº á¡á¬ážáá±á¬ááºážááá·áº HTTP á¡ááœá¬ážá¡áᬠááœá²ááŒááºážá
áááºááŒá¬ááŸá¯á
áá
áºá á¡áá°ážá¡ááŒá±á¬ááºáž HTTP ááœáŸá²ááŒá±á¬ááºážááŸá¯áá»á¬ážá á¡áá±ážá
áááºááŸááºáááºážááᯠááááºážááááºážáááºá¡ááœáẠáá±á¬áºáá»á°ážáá
áºáá¯áááá¯ááºááŒá®ážá ááŸááºáááºážááᯠá
á¶áá±á¬áºáááºááŒáá·áº ááááºážáááºážáá¬ážáááºá
Apacheá HTTP áááá¯ááá¯áá±á¬ááŸáá áºááá·áº ááœáŸá²ááŒá±á¬ááºážáá¬ážáá±á¬ ááá¯ááºáá»á¬ážááᯠáá¯ááºáá°ááŒááºážááŸáá·áº á¡áááºááŒá¯ááŒááºážááá¯á·ááᯠáá¶á·ááá¯ážáá¬ážáááºá áá»á¯á¶á·áá¬ážáá±á¬ á¡ááŒá±á¬ááºážá¡áá¬ááᯠááœá²ááŒááºážá áááºááŒá¬ááẠáá¶á·ááá¯ážááŸá¯á URIá Cookieá áá±á«ááºážá á®ážáá»á¬ážá á¡áá¯á¶ážááŒá¯áá°-á¡á±ážáá»áá·áºá áá±á¬ááºážááá¯áá»ááº/áá¯á¶á·ááŒááºááŸá¯ááá¯ááºáááºá¡á¬ážááŒáá·áº ááœá²ááŒá¬ážáááºááŸááºááá¯ááºááŸá¯á - NFQueueá IPFRingá LibPcapá IPFWá AF_PACKETá PF_RING á¡áá«á¡ááẠá¡ááœá¬ážá¡áá¬ááᯠááŒá¬ážááŒááºááŒá¬ážááŒááºááẠá¡áá»áá¯ážáá»áá¯ážáá±á¬ á¡ááºáá¬áá±á·á áºáá»á¬ážá¡ááœáẠáá¶á·ááá¯ážááŸá¯á ááááºážáááºážááŒá®ážáá¬ážááá¯ááºáá»á¬ážááᯠPCAP áá±á¬áºáááºááŒáá·áº ááœá²ááŒááºážá áááºááŒá¬ááá¯ááºáááº;
- ááŒáá·áºáá¬ážáá±á¬á áœááºážáá±á¬ááºáááºá ááá¬ážááá¯ážáá»á ááºáá á¹á ááºážáá»á¬ážááœáẠ10 gigabits/sec á¡áá stream áá»á¬ážááá¯áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááŸááááºá
- IP ááááºá á¬á¡á á¯á¶á¡áááºááŒáá·áº á áœááºážáá±á¬ááºáááºááŒáá·áºáá»ááºááŸá¬áá¯á¶ážááŸáá·áº ááá¯ááºáá®áá±á¬á¡ááºáá»ááºá áá»ááºááŸá¬áá¯á¶ážááŸáá·áº áá¯á¶ááŸááºá¡áá¯á¶ážá¡ááŸá¯ááºážáá»á¬ážááŒáá·áº á¡ááŒá±á¬ááºážá¡áá¬ááœá±ážáá»ááºááŸá¯á¡ááœáẠáá¶á·ááá¯ážááŸá¯á á¡áááºá á¡áá»áá¯ážá¡á á¬áž ááá¯á·ááá¯áẠMD5 checksum á¡áá«á¡ááẠáááºážááá¯á·á ááœá²ááŒá¬ážáááºááŸááºááŒááºáž á¡áá«á¡ááẠá¡ááœá¬ážá¡áá¬á០ááá¯ááºáá»á¬ážááᯠááá¯ááºážááŒá¬ážááŒááºážá
- á ááºážáá»ááºážáá»á¬ážááœáẠááááºážááŸááºáá»á¬ážááᯠáá¯á¶ážááá¯ááºáááº- áááºááẠáá¯ááºááœáŸáá·áºááŸá¯á០á¡áá»ááºá¡áááºáá»á¬ážááᯠááááºážáááºážááá¯ááºááŒá®áž áá±á¬ááºááá¯ááºážááœáẠáááºážááᯠá¡ááŒá¬ážá ááºážáá»ááºážáá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
- á ááºáá¯ááºáá±á¬ááºáá¬ááœáẠááœááºáá°á áœá¬ááŒáá·áº ááŒááºááá¯ááºá áœááºážááᯠááááºážááááºážáá¬ážááá¯ááºá á±ááá·áº ááœá²á·á ááºážááŸá¯ááá¯ááºáá»á¬ážááœáẠYAML áá±á¬áºáááºááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá
- á¡ááŒáá·áºá¡á IPv6 áá¶á·ááá¯ážááŸá¯;
- packets áá»á¬ážáá±á¬ááºááŸáááá·áºá¡á á®á¡á á¥áºááá¯áááºááá¯á·áááºááŒá áºá á± streams áá»á¬ážáááŸááºáááºáá±á¬áá¯ááºáá±á¬ááºááŸá¯ááá¯áá±áá»á¬á á±áááºá¡ááœááºá¡ááá¯á¡áá»á±á¬áẠdefragmentation ááŸáá·áº packets áá»á¬ážááŒááºáááºá á¯á ááºážááŸá¯á¡ááœáẠbuilt-in á¡ááºáá»ááºá
- á¥áááºááŸáá¯ááºáá±á«ááºáž áááá¯ááá¯áá±á¬áá»á¬ážá¡ááœáẠáá¶á·ááá¯ážááŸá¯- Teredoá IP-IPá IP6-IP4á IP4-IP6á GRE;
- áááºáá±á·áá»áºá áá¬ážááŸááºááᯠáá¶á·ááá¯ážááŸá¯- IPv4á IPv6á TCPá UDPá SCTPá ICMPv4á ICMPv6á GREá Ethernetá PPPá PPPoEá Rawá SLLá VLAN;
- TLS/SSL áá»áááºáááºááŸá¯áá»á¬ážá¡ááœááºáž áá±á«áºáá¬ááá·áº áá±á¬á·ááŸáá·áº áááºááŸááºáá»á¬ážá¡ááœáẠááŸááºáááºážáá¯ááºá
- á¡ááá·áºááŒáá·áº ááœá²ááŒááºážá áááºááŒá¬ááŸá¯ááᯠáá±ážáá±á¬ááºáááºááŸáá·áº á á¶á ááºážáá»ááºážáá»á¬áž ááá¯á¶áá±á¬ááºááá·áº áá¬ááºá¡ááœá¬ážá¡áᬠá¡áá»áá¯ážá¡á á¬ážáá»á¬ážááᯠááœá²ááŒá¬ážáááºááŸááºááẠááá¯á¡ááºáá±á¬ áááºáá±á¬ááºážá¡ááºá¹áá«áááºáá»á¬ážááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááẠLua script áá»á¬ážááᯠáá±ážáá¬ážááá¯ááºááŸá¯á
source: opennet.ru