ProHoster > بلاګ > انټرنیټ خبرونه > د Suricata 6.0 د ننوتلو کشف سیسټم خوشې کول

د Suricata 6.0 د ننوتلو کشف سیسټم خوشې کول

После года разработки организация OISF (Open Information Security Foundation) خپور شوی د شبکې د ننوتلو کشف او مخنیوي سیسټم خوشې کول میرکات 6.0.، کوم چې د ترافیک مختلف ډولونو معاینه کولو لپاره وسیلې چمتو کوي. د Suricata ترتیبونو کې دا ممکنه ده چې کارول شي د لاسلیک ډیټابیس، د Snort پروژې لخوا رامینځته شوی ، او همدارنګه د مقرراتو سیټونه راپورته کیدونکي ګواښونه и راپورته کیدونکي ګواښونه پرو. د پروژې سرچینې خپراوی د GPLv2 لاندې جواز لري.

اصلي بدلونونه:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (هاش).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

د سوریکاتا ځانګړتیاوې:

  • د سکین پایلو ښودلو لپاره د متحد شکل کارول متحد2، د Snort پروژې لخوا هم کارول کیږي ، کوم چې د معیاري تحلیلي وسیلو کارولو ته اجازه ورکوي لکه barnyard2. د BASE، Snorby، Sguil او SQueRT محصولاتو سره د یوځای کولو امکان. د PCAP محصول ملاتړ؛
  • د پروتوکولونو اتوماتیک کشف لپاره ملاتړ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB، او نور)، تاسو ته اجازه درکوي یوازې د پروتوکول ډول سره په قواعدو کې کار وکړئ، پرته له دې چې د پورټ شمیرې ته اشاره وکړئ (د مثال په توګه، د HTTP بلاک کول په غیر معیاري بندر کې ترافیک). د HTTP، SSL، TLS، SMB، SMB2، DCERPC، SMTP، FTP او SSH پروتوکولونو لپاره د ډیکوډرونو شتون؛
  • د پیاوړې HTTP ترافیک تحلیل سیسټم چې د HTTP ترافیک تحلیل او نورمال کولو لپاره د Mod_Security پروژې لیکوال لخوا رامینځته شوی ځانګړی HTP کتابتون کاروي. یو ماډل شتون لري چې د لیږد HTTP لیږد تفصيلي لاګ ساتلو لپاره شتون لري؛ لاګ په معیاري بڼه خوندي شوی
    اپاچی. د HTTP له لارې لیږدول شوي فایلونو ترلاسه کول او چک کول ملاتړ کیږي. د کمپریس شوي مینځپانګې تحلیل لپاره ملاتړ. د URI، کوکیز، سرلیکونو، کارن-ایجنټ، غوښتنه / ځواب د بدن لخوا د پیژندلو وړتیا؛

  • د ترافیک مداخلې لپاره د مختلف انٹرفیسونو ملاتړ ، پشمول د NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. دا ممکنه ده چې مخکې له مخکې خوندي شوي فایلونه د PCAP بڼه کې تحلیل کړئ؛
  • لوړ فعالیت، په دودیز تجهیزاتو کې تر 10 ګیګابایټ / ثانیو پورې جریان پروسس کولو وړتیا.
  • د IP پتې لوی سیټونو لپاره د لوړ فعالیت ماسک میچ کولو میکانیزم. د ماسک او منظم څرګندونو په واسطه د مینځپانګې غوره کولو لپاره ملاتړ. د ټرافیک څخه د فایلونو جلا کول، په شمول د نوم، ډول یا MD5 چکسم لخوا د دوی پیژندنه.
  • په قواعدو کې د متغیرونو کارولو وړتیا: تاسو کولی شئ معلومات د جریان څخه خوندي کړئ او وروسته یې په نورو مقرراتو کې وکاروئ؛
  • د ترتیب کولو فایلونو کې د YAML ب formatه کارول ، کوم چې تاسو ته اجازه درکوي وضاحت وساتي پداسې حال کې چې د ماشین پروسې ته اسانه وي؛
  • بشپړ IPv6 ملاتړ؛
  • د اتوماتیک ډیفریګمینټیشن او د پاکټونو بیا راټولولو لپاره جوړ شوی انجن، د جریانونو سم پروسس کولو ته اجازه ورکوي، پرته له دې چې پاکټونه راشي؛
  • د تونل کولو پروتوکولونو ملاتړ: Teredo، IP-IP، IP6-IP4، IP4-IP6، GRE؛
  • د کڅوړې کوډ کولو ملاتړ: IPv4، IPv6، TCP، UDP، SCTP، ICMPv4، ICMPv6، GRE، ایترنیټ، PPP، PPPoE، Raw، SLL، VLAN؛
  • د ننوتلو کیلي او سندونو لپاره حالت چې په TLS/SSL ارتباطاتو کې څرګندیږي؛
  • په لوا کې د سکریپټونو لیکلو وړتیا ترڅو پرمختللي تحلیل چمتو کړي او اضافي وړتیاوې پلي کړي چې د ترافیک ډولونو پیژندلو لپاره اړین دي چې معیاري مقررات کافي ندي.

سرچینه: opennet.ru

Add a comment