پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > Suricata 5.0 حملي جو پتو لڳائڻ وارو نظام موجود آهي

Suricata 5.0 حملي جو پتو لڳائڻ وارو نظام موجود آهي

تنظيم OISF (اوپن انفارميشن سيڪيورٽي فائونڊيشن) شايع ٿيل نيٽ ورڪ جي مداخلت جو پتو لڳائڻ ۽ روڪٿام جو نظام مييرڪٽ 5.0، جيڪو مختلف قسم جي ٽرئفڪ جي معائنو ڪرڻ لاءِ اوزار مهيا ڪري ٿو. Suricata ترتيبن ۾ ان کي استعمال ڪرڻ ممڪن آهي دستخط ڊيٽابيس، Snort پروجيڪٽ پاران ترقي ڪئي وئي، ۽ گڏوگڏ ضابطن جا سيٽ اڀرندڙ خطرو и اڀرندڙ خطرا پرو. پروجيڪٽ ذريعن ڦهلڻ GPLv2 تحت لائسنس يافته.

مکيه تبديليون:

  • پارسنگ ۽ لاگنگ پروٽوڪول لاءِ نوان ماڊل متعارف ڪرايا ويا آهن
    RDP، SNMP ۽ SIP مورچا ۾ لکيل. EVE سب سسٽم ذريعي لاگ ان ڪرڻ جي صلاحيت FTP پارسنگ ماڊل ۾ شامل ڪئي وئي آهي، JSON فارميٽ ۾ ايونٽ آئوٽ مهيا ڪندي؛

  • JA3 TLS ڪلائنٽ جي سڃاڻپ واري طريقي جي مدد سان گڏ جيڪو آخري رليز ۾ ظاهر ٿيو، طريقي جي حمايت جي 3 ايس, اجازت ڏيڻ ڪنيڪشن ڳالهين جي خاصيتن جي بنياد تي ۽ مخصوص پيٽرولر، طئي ڪريو ته ڪھڙو سافٽ ويئر ڪنيڪشن قائم ڪرڻ لاء استعمال ڪيو ويندو آھي (مثال طور، اھو توھان کي اجازت ڏئي ٿو Tor ۽ ٻين معياري ايپليڪيشنن جي استعمال جو تعين ڪرڻ). JA3 توهان کي گراهڪن جي وضاحت ڪرڻ جي اجازت ڏئي ٿو، ۽ JA3S توهان کي سرور جي وضاحت ڪرڻ جي اجازت ڏئي ٿو. عزم جا نتيجا استعمال ڪري سگھجن ٿا قاعدي سيٽنگ ٻولي ۽ لاگز ۾؛
  • شامل ڪيل تجرباتي صلاحيت وڏي ڊيٽا جي سيٽن مان نمونن سان ملائي، نئين عملن کي استعمال ڪندي لاڳو ڪيو ويو dataset ۽ datarep. مثال طور، خصوصيت وڏي بليڪ لسٽن ۾ ماسڪ ڳولڻ لاءِ لاڳو ٿئي ٿي جنهن ۾ لکين اندراج شامل آهن؛
  • HTTP معائنو موڊ ٽيسٽ سوٽ ۾ بيان ڪيل سڀني حالتن جي مڪمل ڪوريج مهيا ڪري ٿو HTTP Evader (مثال طور، ٽريفڪ ۾ بدسلوڪي سرگرمي کي لڪائڻ لاءِ استعمال ٿيندڙ ٽيڪنڪ جو احاطو ڪري ٿو)؛
  • Rust ٻولي ۾ ماڊلز کي ترقي ڪرڻ جا اوزار اختيارن کان لازمي معياري صلاحيتن ڏانھن منتقل ڪيا ويا آھن. مستقبل ۾، اهو منصوبو ڪوڊ بيس ۾ زنگ جي استعمال کي وڌائڻ جي منصوبابندي ڪئي وئي آهي ۽ تدريجي طور تي ماڊيولز کي تبديل ڪيو ويو آهي زنگ ۾ ٺاهيل اينالاگ سان؛
  • پروٽوڪول جي تعريف واري انجڻ کي بهتر ڪيو ويو آهي درستگي کي بهتر ڪرڻ ۽ غير مطابقت واري ٽرئفڪ جي وهڪري کي سنڀالڻ لاءِ؛
  • EVE لاگ ۾ نئين ”عدمگي“ داخل ٿيڻ واري قسم لاءِ سپورٽ شامل ڪئي وئي آهي، جيڪو ذخيرو ڪري ٿو غير معمولي واقعن جو پتو لڳايو ويو جڏهن پيڪيٽس کي ڊيڪوڊنگ ڪندي. EVE پڻ VLANs ۽ ٽرئفڪ جي قبضي واري انٽرفيس بابت معلومات جي ڊسپلي کي وڌايو آهي. EVE http لاگ انٽريز ۾ سڀ HTTP هيڊر محفوظ ڪرڻ لاءِ اختيار شامل ڪيو ويو؛
  • eBPF-based handlers مهيا ڪن ٿا هارڊويئر ميکانيزم لاءِ سپورٽ پيڪٽ ڪيپچر کي تيز ڪرڻ لاءِ. هارڊويئر ايڪسلريشن في الحال Netronome نيٽ ورڪ ايڊاپٽرز تائين محدود آهي، پر جلد ئي ٻين سامان لاءِ دستياب ٿي ويندي؛
  • نيٽ ميپ فريم ورڪ استعمال ڪندي ٽرئفڪ کي پڪڙڻ لاءِ ڪوڊ ٻيهر لکيو ويو آهي. جديد نيٽ ميپ خاصيتون استعمال ڪرڻ جي صلاحيت شامل ڪئي وئي جهڙوڪ ورچوئل سوئچ داد;
  • شامل ڪيو ويو Sticky Buffers لاءِ نئين لفظ جي تعريف واري اسڪيم لاءِ سپورٽ. نئين اسڪيم جي وضاحت ڪئي وئي آهي “protocol.buffer” فارميٽ ۾، مثال طور، URI جي چڪاس ڪرڻ لاءِ، لفظ ”http_uri“ بدران ”http.uri“ فارم کڻندو.
  • سڀ پٿون ڪوڊ استعمال ڪيو ويو آھي سان مطابقت لاءِ
    پٿون 3؛

  • ٽائلرا آرڪيٽيڪچر لاءِ سپورٽ، ٽيڪسٽ لاگ dns.log ۽ پراڻي لاگ فائلز-json.log کي بند ڪيو ويو آهي.

Suricata جون خاصيتون:

  • اسڪين نتيجن کي ڊسپلي ڪرڻ لاء متحد فارميٽ استعمال ڪندي متحد 2، پڻ استعمال ڪيو ويو Snort پروجيڪٽ، جيڪو معياري تجزياتي اوزار جي استعمال جي اجازت ڏئي ٿو جهڙوڪ باغ 2. BASE، Snorby، Sguil ۽ SQueRT مصنوعات سان گڏ انضمام جو امڪان. PCAP پيداوار جي حمايت؛
  • پروٽوڪول جي خودڪار ڳولڻ جي حمايت (IP، TCP، UDP، ICMP، HTTP، TLS، FTP، SMB، وغيره)، توهان کي صرف پروٽوڪول جي قسم جي ضابطن ۾ هلائڻ جي اجازت ڏئي ٿي، پورٽ نمبر جي حوالي کان سواء (مثال طور، بلاڪ HTTP هڪ غير معياري بندرگاهه تي ٽرئفڪ). HTTP، SSL، TLS، SMB، SMB2، DCERPC، SMTP، FTP ۽ SSH پروٽوڪول لاءِ ڊيڪوڊرز جي دستيابي؛
  • هڪ طاقتور HTTP ٽريفڪ تجزياتي نظام جيڪو استعمال ڪري ٿو خاص HTP لائبريري جي مصنف پاران ٺاهيل Mod_Security پروجيڪٽ HTTP ٽرئفڪ کي پارس ۽ عام ڪرڻ لاءِ. هڪ ماڊل ٽرانسٽ HTTP منتقلي جي تفصيلي لاگ کي برقرار رکڻ لاء دستياب آهي؛ لاگ هڪ معياري فارميٽ ۾ محفوظ ڪيو ويو آهي
    اپاچي. HTTP ذريعي منتقل ٿيل فائلن کي ٻيهر حاصل ڪرڻ ۽ جانچڻ جي حمايت ڪئي وئي آهي. کمپريس ٿيل مواد کي پارس ڪرڻ لاءِ سپورٽ. URI، ڪوڪيز، هيڊرز، يوزر-ايجنٽ، درخواست/جوابي جسم جي سڃاڻپ ڪرڻ جي صلاحيت؛

  • ٽرئفڪ جي مداخلت لاءِ مختلف انٽرفيس لاءِ سپورٽ، بشمول NFQueue، IPFRing، LibPcap، IPFW، AF_PACKET، PF_RING. اڳ ۾ ئي محفوظ ڪيل فائلن جو تجزيو ڪرڻ ممڪن آهي PCAP فارميٽ ۾؛
  • اعلي ڪارڪردگي، روايتي سامان تي 10 گيگاابٽ / سيڪنڊ تائين وهڪري کي پروسيس ڪرڻ جي صلاحيت.
  • IP پتي جي وڏين سيٽن لاءِ اعليٰ ڪارڪردگي ماسڪ ملائڻ وارو ميڪانيزم. ماسڪ ۽ باقاعده اظهار ذريعي مواد چونڊڻ لاءِ سپورٽ. ٽريفڪ کان فائلن کي الڳ ڪرڻ، بشمول نالو، قسم يا MD5 چيڪسم ذريعي انهن جي سڃاڻپ.
  • ضابطن ۾ variables استعمال ڪرڻ جي صلاحيت: توهان هڪ وهڪرو کان معلومات محفوظ ڪري سگهو ٿا ۽ بعد ۾ ان کي ٻين ضابطن ۾ استعمال;
  • ترتيب ڏيڻ واري فائلن ۾ YAML فارميٽ جو استعمال، جيڪو توهان کي وضاحت کي برقرار رکڻ جي اجازت ڏئي ٿو جڏهن ته مشين جي عمل ۾ آسان آهي؛
  • مڪمل IPv6 سپورٽ؛
  • خود بخود خراب ڪرڻ ۽ پيڪٽن جي ٻيهر گڏ ڪرڻ لاءِ ٺهيل انجڻ، اسٽريم جي صحيح پروسيسنگ جي اجازت ڏئي ٿي، بغير ترتيب جي جنهن ۾ پيڪيٽ اچن ٿا؛
  • سرنگنگ پروٽوڪول لاءِ سپورٽ: Teredo، IP-IP، IP6-IP4، IP4-IP6، GRE؛
  • پيڪٽ ڊيڪوڊنگ سپورٽ: IPv4، IPv6، TCP، UDP، SCTP، ICMPv4، ICMPv6، GRE، Ethernet، PPP، PPPoE، Raw، SLL، VLAN؛
  • TLS/SSL ڪنيڪشنن ۾ لاگنگ ڪيز ۽ سرٽيفڪيٽن لاءِ موڊ.
  • Lua ۾ اسڪرپٽ لکڻ جي صلاحيت ترقي يافته تجزيو مهيا ڪرڻ ۽ اضافي صلاحيتن کي لاڳو ڪرڻ جي ضرورت آهي ٽريفڪ جي قسمن کي سڃاڻڻ لاءِ جن لاءِ معياري ضابطا ڪافي نه آهن.

    • جو ذريعو: opennet.ru

تبصرو شامل ڪريو