ProHoster > بلاګ > انټرنیټ خبرونه > د Suricata 5.0 برید کشف سیسټم شتون لري

د Suricata 5.0 برید کشف سیسټم شتون لري

سازمان OISF (د پرانیستې معلوماتو امنیت بنسټ) خپور شوی د شبکې د ننوتلو کشف او مخنیوي سیسټم خوشې کول میرکات 5.0.، کوم چې د ترافیک مختلف ډولونو معاینه کولو لپاره وسیلې چمتو کوي. د Suricata ترتیبونو کې دا ممکنه ده چې کارول شي د لاسلیک ډیټابیس، د Snort پروژې لخوا رامینځته شوی ، او همدارنګه د مقرراتو سیټونه راپورته کیدونکي ګواښونه и راپورته کیدونکي ګواښونه پرو. د پروژې سرچینې خپراوی د GPLv2 لاندې جواز لري.

اصلي بدلونونه:

  • د پارس کولو او د ننوتلو پروتوکولونو لپاره نوي ماډلونه معرفي شوي
    RDP، SNMP او SIP په زنګ کې لیکل شوي. د FTP پارس کولو ماډل اوس د EVE فرعي سیسټم له لارې د ننوتلو وړتیا لري، کوم چې د JSON بڼه کې د پیښې محصول چمتو کوي؛

  • د JA3 TLS پیرودونکي پیژندنې میتود لپاره د ملاتړ سربیره چې په وروستي خوشې کې څرګند شوی ، د میتود لپاره ملاتړ JA3S, اجازه ورکول د اتصال خبرو اترو او ټاکل شوي پیرامیټونو ځانګړتیاو پراساس ، مشخص کړئ چې کوم سافټویر د اتصال رامینځته کولو لپاره کارول کیږي (د مثال په توګه ، دا تاسو ته اجازه درکوي د تور او نورو معیاري غوښتنلیکونو کارول وټاکئ). JA3 تاسو ته اجازه درکوي پیرودونکي تعریف کړئ، او JA3S تاسو ته اجازه درکوي سرورونه تعریف کړئ. د تعیین پایلې د مقرراتو په ژبه او په لاګونو کې کارول کیدی شي؛
  • د لوی ډیټا سیټونو څخه د نمونو سره میچ کولو لپاره تجربوي وړتیا اضافه شوې ، د نوي عملیاتو په کارولو سره پلي کیږي ډیټاسیټ او ډیټاریپ. د مثال په توګه، دا خصوصیت په لوی تور لیستونو کې د ماسکونو لټون کولو لپاره پلي کیږي چې په ملیونونو ننوتنې لري؛
  • د HTTP معاینې حالت د ټیسټ سویټ کې بیان شوي د ټولو حالتونو بشپړ پوښښ چمتو کوي HTTP Evader (د بیلګې په توګه، په ټرافیک کې د ناوړه فعالیت پټولو لپاره کارول شوي تخنیکونه پوښي)؛
  • د زنګ په ژبه کې د ماډلونو رامینځته کولو وسیلې له اختیارونو څخه لازمي معیاري وړتیاو ته لیږدول شوي. په راتلونکي کې ، دا پلان شوی چې د پروژې کوډ بیس کې د زنګ کارول پراخه کړي او په تدریجي ډول ماډلونه په زنګ کې رامینځته شوي انالوګونو سره ځای په ځای کړي؛
  • د پروتوکول تعریف انجن ښه شوی ترڅو دقت ښه کړي او د غیر متناسب ترافیک جریان اداره کړي؛
  • د EVE لاګ کې د نوي "عدم حالت" ننوتلو ډول لپاره ملاتړ اضافه شوی ، کوم چې د پاکټونو کوډ کولو پرمهال کشف شوي غیر معمولي پیښې ذخیره کوي. EVE د VLANs او د ترافیک نیولو انٹرفیسونو په اړه د معلوماتو ښودنه هم پراخه کړې. د EVE HTTP لاګ ننوتونو کې د ټولو HTTP سرلیکونو خوندي کولو لپاره اختیار اضافه شوی؛
  • د eBPF پر بنسټ سمبالونکي د پیکټ نیول ګړندي کولو لپاره د هارډویر میکانیزمونو لپاره ملاتړ چمتو کوي. د هارډویر سرعت اوس مهال د نیټرونوم شبکې اډیپټرونو پورې محدود دی ، مګر ډیر ژر به د نورو تجهیزاتو لپاره شتون ولري؛
  • د Netmap چوکاټ په کارولو سره د ټرافیک نیولو لپاره کوډ بیا لیکل شوی. د پرمختللي Netmap ځانګړتیاو لکه د مجازی سویچ کارولو وړتیا اضافه کړه ډکرمن;
  • زیاته کړه د سټیکي بفرونو لپاره د نوي کلیدي کلمې تعریف سکیم لپاره ملاتړ. نوی سکیم د "protocol.buffer" بڼه کې تعریف شوی، د بیلګې په توګه، د URI معاینه کولو لپاره، کلیدي کلمه به د "http_uri" پرځای "http.uri" بڼه واخلي؛
  • د Python ټول کوډ کارول شوی د مطابقت لپاره ازمول شوی
    پیتون۳;

  • د ټیلرا جوړښت لپاره ملاتړ، د متن لاګ dns.log او زاړه لاګ فایلونه-json.log بند شوي.

د سوریکاتا ځانګړتیاوې:

  • د سکین پایلو ښودلو لپاره د متحد شکل کارول متحد2، د Snort پروژې لخوا هم کارول کیږي ، کوم چې د معیاري تحلیلي وسیلو کارولو ته اجازه ورکوي لکه barnyard2. د BASE، Snorby، Sguil او SQueRT محصولاتو سره د یوځای کولو امکان. د PCAP محصول ملاتړ؛
  • د پروتوکولونو اتوماتیک کشف لپاره ملاتړ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB، او نور)، تاسو ته اجازه درکوي یوازې د پروتوکول ډول سره په قواعدو کې کار وکړئ، پرته له دې چې د پورټ شمیرې ته اشاره وکړئ (د مثال په توګه، د HTTP بلاک کول په غیر معیاري بندر کې ترافیک). د HTTP، SSL، TLS، SMB، SMB2، DCERPC، SMTP، FTP او SSH پروتوکولونو لپاره د ډیکوډرونو شتون؛
  • د پیاوړې HTTP ترافیک تحلیل سیسټم چې د HTTP ترافیک تحلیل او نورمال کولو لپاره د Mod_Security پروژې لیکوال لخوا رامینځته شوی ځانګړی HTP کتابتون کاروي. یو ماډل شتون لري چې د لیږد HTTP لیږد تفصيلي لاګ ساتلو لپاره شتون لري؛ لاګ په معیاري بڼه خوندي شوی
    اپاچی. د HTTP له لارې لیږدول شوي فایلونو ترلاسه کول او چک کول ملاتړ کیږي. د کمپریس شوي مینځپانګې تحلیل لپاره ملاتړ. د URI، کوکیز، سرلیکونو، کارن-ایجنټ، غوښتنه / ځواب د بدن لخوا د پیژندلو وړتیا؛

  • د ترافیک مداخلې لپاره د مختلف انٹرفیسونو ملاتړ ، پشمول د NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. دا ممکنه ده چې مخکې له مخکې خوندي شوي فایلونه د PCAP بڼه کې تحلیل کړئ؛
  • لوړ فعالیت، په دودیز تجهیزاتو کې تر 10 ګیګابایټ / ثانیو پورې جریان پروسس کولو وړتیا.
  • د IP پتې لوی سیټونو لپاره د لوړ فعالیت ماسک میچ کولو میکانیزم. د ماسک او منظم څرګندونو په واسطه د مینځپانګې غوره کولو لپاره ملاتړ. د ټرافیک څخه د فایلونو جلا کول، په شمول د نوم، ډول یا MD5 چکسم لخوا د دوی پیژندنه.
  • په قواعدو کې د متغیرونو کارولو وړتیا: تاسو کولی شئ معلومات د جریان څخه خوندي کړئ او وروسته یې په نورو مقرراتو کې وکاروئ؛
  • د ترتیب کولو فایلونو کې د YAML ب formatه کارول ، کوم چې تاسو ته اجازه درکوي وضاحت وساتي پداسې حال کې چې د ماشین پروسې ته اسانه وي؛
  • بشپړ IPv6 ملاتړ؛
  • د اتوماتیک ډیفریګمینټیشن او د پاکټونو بیا راټولولو لپاره جوړ شوی انجن، د جریانونو سم پروسس کولو ته اجازه ورکوي، پرته له دې چې پاکټونه راشي؛
  • د تونل کولو پروتوکولونو ملاتړ: Teredo، IP-IP، IP6-IP4، IP4-IP6، GRE؛
  • د کڅوړې کوډ کولو ملاتړ: IPv4، IPv6، TCP، UDP، SCTP، ICMPv4، ICMPv6، GRE، ایترنیټ، PPP، PPPoE، Raw، SLL، VLAN؛
  • د ننوتلو کیلي او سندونو لپاره حالت چې په TLS/SSL ارتباطاتو کې څرګندیږي؛
  • په لوا کې د سکریپټونو لیکلو وړتیا ترڅو پرمختللي تحلیل چمتو کړي او اضافي وړتیاوې پلي کړي چې د ترافیک ډولونو پیژندلو لپاره اړین دي چې معیاري مقررات کافي ندي.

    • سرچینه: opennet.ru

Add a comment