Organisasjon OISF (Open Information Security Foundation) utgivelse av system for oppdagelse og forebygging av nettverksinntrenging , som gir et middel til å inspisere ulike typer trafikk. I Suricata-konfigurasjoner er det tillatt å bruke , utviklet av Snort-prosjektet, samt regelsett и . Prosjektets kildekode lisensiert under GPLv2.
Hovedendringer:
- Introduserte nye parsing- og loggingsmoduler for protokoller
RDP, SNMP og SIP skrevet i Rust. Muligheten til å logge via EVE-delsystemet, som gir utdata av hendelser i JSON-format, er lagt til FTP-parsingsmodulen; - I tillegg til støtte for JA3 TLS-klientautentiseringsmetoden introdusert i forrige utgivelse, støtte for metoden , basert på spesifikasjonene for tilkoblingsforhandling og de spesifiserte parameterne, bestemme hvilken programvare som brukes til å etablere en tilkobling (det lar deg for eksempel bestemme bruken av Tor og andre typiske applikasjoner). JA3 gjør det mulig å definere klienter, og JA3S - servere. Resultatene av bestemmelsen kan brukes i regelinnstillingsspråket og i loggene;
- Lagt til eksperimentell evne til å matche med et utvalg av store datasett, implementert ved hjelp av nye operasjoner . For eksempel kan funksjonen brukes til å søke etter masker i store svartelister med millioner av oppføringer;
- HTTP-inspeksjonsmodus gir full dekning av alle situasjoner beskrevet i testpakken (dekker for eksempel metoder som brukes til å skjule ondsinnet aktivitet i trafikken);
- Rustmodulutviklingsverktøy har blitt flyttet fra alternativer til nødvendige standardfunksjoner. I fremtiden er det planlagt å utvide bruken av Rust i prosjektets kodebase og gradvis erstatte moduler med analoger utviklet i Rust;
- Protokolldeteksjonsmotoren har blitt forbedret når det gjelder nøyaktighet og håndtering av asynkrone trafikkstrømmer;
- Støtte er lagt til EVE-loggen for en ny posttype, "anomali", som lagrer atypiske hendelser som oppdages når pakker dekodes. EVE utvidet også visningen av informasjon om VLAN og trafikkregistreringsgrensesnitt. Lagt til alternativ for å lagre alle HTTP-hoder i EVE-logg http-oppføringer;
- eBPF-baserte behandlere gir støtte for maskinvaremekanismer for å akselerere pakkefangst. Maskinvareakselerasjon er foreløpig begrenset til Netronome-nettverksadaptere, men vil snart dukke opp for annet utstyr;
- Omskrevet kode for å fange opp trafikk ved hjelp av Netmap-rammeverket. Lagt til muligheten til å bruke avanserte Netmap-funksjoner som en virtuell svitsj ;
- støtte for en ny nøkkelorddefinisjonsordning for Sticky Buffers. Det nye oppsettet er definert i protocol.buffer-format, for eksempel, for å introspektere en URI, vil nøkkelordet være "http.uri" i stedet for "http_uri";
- All Python-kode som brukes er testet for kompatibilitet med
Python3; - Støtte for Tilera-arkitekturen, dns.log-tekstloggen og den gamle files-json.log-loggen er avviklet.
Funksjoner av Suricata:
- Bruke et enhetlig format for å vise valideringsresultater , også brukt av Snort-prosjektet, som tillater bruk av standard analyseverktøy som f.eks . Evne til å integrere med BASE, Snorby, Sguil og SQueRT produkter. Støtte for utdata i PCAP-format;
- Støtte for automatisk gjenkjenning av protokoller (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), som lar deg operere i reglene kun etter protokolltypen, uten referanse til portnummeret (for eksempel , for å blokkere HTTP-trafikk på en ikke-standard port) . Dekodere for HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP og SSH-protokoller;
- Et kraftig HTTP-trafikkanalysesystem som bruker et spesielt HTP-bibliotek opprettet av forfatteren av Mod_Security-prosjektet for å analysere og normalisere HTTP-trafikk. En modul er tilgjengelig for å opprettholde en detaljert logg over transitt-HTTP-overføringer, loggen lagres i et standardformat
Apache. Utvinning og verifisering av filer overført via HTTP-protokoll støttes. Støtte for å analysere komprimert innhold. Evne til å identifisere ved URI, informasjonskapsel, overskrifter, brukeragent, forespørsel/svar-legeme; - Støtte for ulike grensesnitt for å avskjære trafikk, inkludert NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Det er mulig å analysere allerede lagrede filer i PCAP-format;
- Høy ytelse, evnen til å behandle strømmer opp til 10 gigabit/sek på konvensjonelt utstyr.
- Høyytelses maskematchende motor med store sett med IP-adresser. Støtte for innholdsvalg etter maske og regulære uttrykk. Separasjon av filer fra trafikk, inkludert deres identifikasjon ved navn, type eller MD5-sjekksum.
- Evne til å bruke variabler i regler: du kan lagre informasjon fra strømmen og senere bruke den i andre regler;
- Bruk av YAML-formatet i konfigurasjonsfiler, som lar deg opprettholde synlighet med enkel maskinbehandling;
- Full IPv6-støtte;
- Innebygd motor for automatisk defragmentering og remontering av pakker, som gjør det mulig å sikre korrekt behandling av strømmer, uavhengig av rekkefølgen pakkene ankommer i;
- Støtte for tunnelprotokoller: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Pakkedekodingsstøtte: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Loggmodus for nøkler og sertifikater som vises i TLS/SSL-tilkoblinger;
- Evnen til å skrive Lua-skript for å gi avansert analyse og implementere tilleggsfunksjoner som trengs for å identifisere trafikktyper som standardregler ikke er nok for.
Kilde: opennet.ru