После года разработки организация OISF (Open Information Security Foundation) نيٽ ورڪ جي مداخلت جو پتو لڳائڻ ۽ روڪٿام جو نظام ، جيڪو مختلف قسم جي ٽرئفڪ جي معائنو ڪرڻ لاءِ اوزار مهيا ڪري ٿو. Suricata ترتيبن ۾ ان کي استعمال ڪرڻ ممڪن آهي ، Snort پروجيڪٽ پاران ترقي ڪئي وئي، ۽ گڏوگڏ ضابطن جا سيٽ и . پروجيڪٽ ذريعن GPLv2 تحت لائسنس يافته.
مکيه تبديليون:
- Начальная поддержка HTTP/2.
- Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
- Возможность ведения лога для протокола DCERPC.
- Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
- Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
- Возможность определения условий для сброса сведений в лог.
- Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
- Повышение производительности движка обработки потоков (flow engine).
- Поддержка идентификации реализаций SSH ().
- Реализация декодировщика туннелей GENEVE.
- На языке Rust переписан код для обработки , DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
- В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
- Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
- Добавлена начальная поддержка плагинов.
Suricata جون خاصيتون:
- اسڪين نتيجن کي ڊسپلي ڪرڻ لاء متحد فارميٽ استعمال ڪندي ، پڻ استعمال ڪيو ويو Snort پروجيڪٽ، جيڪو معياري تجزياتي اوزار جي استعمال جي اجازت ڏئي ٿو جهڙوڪ . BASE، Snorby، Sguil ۽ SQueRT مصنوعات سان گڏ انضمام جو امڪان. PCAP پيداوار جي حمايت؛
- پروٽوڪول جي خودڪار ڳولڻ جي حمايت (IP، TCP، UDP، ICMP، HTTP، TLS، FTP، SMB، وغيره)، توهان کي صرف پروٽوڪول جي قسم جي ضابطن ۾ هلائڻ جي اجازت ڏئي ٿي، پورٽ نمبر جي حوالي کان سواء (مثال طور، بلاڪ HTTP هڪ غير معياري بندرگاهه تي ٽرئفڪ). HTTP، SSL، TLS، SMB، SMB2، DCERPC، SMTP، FTP ۽ SSH پروٽوڪول لاءِ ڊيڪوڊرز جي دستيابي؛
- هڪ طاقتور HTTP ٽريفڪ تجزياتي نظام جيڪو استعمال ڪري ٿو خاص HTP لائبريري جي مصنف پاران ٺاهيل Mod_Security پروجيڪٽ HTTP ٽرئفڪ کي پارس ۽ عام ڪرڻ لاءِ. هڪ ماڊل ٽرانسٽ HTTP منتقلي جي تفصيلي لاگ کي برقرار رکڻ لاء دستياب آهي؛ لاگ هڪ معياري فارميٽ ۾ محفوظ ڪيو ويو آهي
اپاچي. HTTP ذريعي منتقل ٿيل فائلن کي ٻيهر حاصل ڪرڻ ۽ جانچڻ جي حمايت ڪئي وئي آهي. کمپريس ٿيل مواد کي پارس ڪرڻ لاءِ سپورٽ. URI، ڪوڪيز، هيڊرز، يوزر-ايجنٽ، درخواست/جوابي جسم جي سڃاڻپ ڪرڻ جي صلاحيت؛ - ٽرئفڪ جي مداخلت لاءِ مختلف انٽرفيس لاءِ سپورٽ، بشمول NFQueue، IPFRing، LibPcap، IPFW، AF_PACKET، PF_RING. اڳ ۾ ئي محفوظ ڪيل فائلن جو تجزيو ڪرڻ ممڪن آهي PCAP فارميٽ ۾؛
- اعلي ڪارڪردگي، روايتي سامان تي 10 گيگاابٽ / سيڪنڊ تائين وهڪري کي پروسيس ڪرڻ جي صلاحيت.
- IP پتي جي وڏين سيٽن لاءِ اعليٰ ڪارڪردگي ماسڪ ملائڻ وارو ميڪانيزم. ماسڪ ۽ باقاعده اظهار ذريعي مواد چونڊڻ لاءِ سپورٽ. ٽريفڪ کان فائلن کي الڳ ڪرڻ، بشمول نالو، قسم يا MD5 چيڪسم ذريعي انهن جي سڃاڻپ.
- ضابطن ۾ variables استعمال ڪرڻ جي صلاحيت: توهان هڪ وهڪرو کان معلومات محفوظ ڪري سگهو ٿا ۽ بعد ۾ ان کي ٻين ضابطن ۾ استعمال;
- ترتيب ڏيڻ واري فائلن ۾ YAML فارميٽ جو استعمال، جيڪو توهان کي وضاحت کي برقرار رکڻ جي اجازت ڏئي ٿو جڏهن ته مشين جي عمل ۾ آسان آهي؛
- مڪمل IPv6 سپورٽ؛
- خود بخود خراب ڪرڻ ۽ پيڪٽن جي ٻيهر گڏ ڪرڻ لاءِ ٺهيل انجڻ، اسٽريم جي صحيح پروسيسنگ جي اجازت ڏئي ٿي، بغير ترتيب جي جنهن ۾ پيڪيٽ اچن ٿا؛
- سرنگنگ پروٽوڪول لاءِ سپورٽ: Teredo، IP-IP، IP6-IP4، IP4-IP6، GRE؛
- پيڪٽ ڊيڪوڊنگ سپورٽ: IPv4، IPv6، TCP، UDP، SCTP، ICMPv4، ICMPv6، GRE، Ethernet، PPP، PPPoE، Raw، SLL، VLAN؛
- TLS/SSL ڪنيڪشنن ۾ لاگنگ ڪيز ۽ سرٽيفڪيٽن لاءِ موڊ.
- Lua ۾ اسڪرپٽ لکڻ جي صلاحيت ترقي يافته تجزيو مهيا ڪرڻ ۽ اضافي صلاحيتن کي لاڳو ڪرڻ جي ضرورت آهي ٽريفڪ جي قسمن کي سڃاڻڻ لاءِ جن لاءِ معياري ضابطا ڪافي نه آهن.
جو ذريعو: opennet.ru