ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Suricata 5.0 ප්‍රහාර හඳුනාගැනීමේ පද්ධතිය තිබේ

Suricata 5.0 ප්‍රහාර හඳුනාගැනීමේ පද්ධතිය තිබේ

OISF සංවිධානය (විවෘත තොරතුරු ආරක්ෂණ පදනම) පළ කර ඇත ජාල ආක්‍රමණය හඳුනා ගැනීම සහ වැළැක්වීමේ පද්ධතිය මුදා හැරීම මීර්කට් 5.0, විවිධ වර්ගයේ රථවාහන පරීක්ෂා කිරීම සඳහා මෙවලම් සපයයි. Suricata වින්යාසය තුළ එය භාවිතා කළ හැකිය අත්සන් දත්ත සමුදායන්, Snort ව්යාපෘතිය මගින් සංවර්ධනය, මෙන්ම නීති මාලාවක් නැගී එන තර්ජන и නැගී එන තර්ජන Pro. ව්යාපෘති මූලාශ්ර බෝ වීම GPLv2 යටතේ බලපත්‍ර ලබා ඇත.

ප්රධාන වෙනස්කම්:

  • විග්‍රහ කිරීම සහ ලොග් කිරීමේ ප්‍රොටෝකෝල සඳහා නව මොඩියුල හඳුන්වා දී ඇත
    RDP, SNMP සහ SIP රස්ට් වලින් ලියා ඇත. FTP විග්‍රහ කිරීමේ මොඩියුලයට දැන් JSON ආකෘතියෙන් සිදුවීම් ප්‍රතිදානය සපයන EVE උප පද්ධතිය හරහා ලොග් වීමේ හැකියාව ඇත;

  • JA3 TLS සේවාදායක හඳුනාගැනීමේ ක්‍රමය සඳහා වන සහායට අමතරව, පසුගිය නිකුතුවේ දර්ශනය වූ ක්‍රමය සඳහා සහය JA3S, ඉඩ දෙනවා සම්බන්ධතා සාකච්ඡා කිරීමේ ලක්ෂණ සහ නිශ්චිත පරාමිතීන් මත පදනම්ව, සම්බන්ධතාවයක් ස්ථාපිත කිරීම සඳහා භාවිතා කරන මෘදුකාංග මොනවාද යන්න තීරණය කරන්න (උදාහරණයක් ලෙස, එය Tor සහ අනෙකුත් සම්මත යෙදුම් භාවිතය තීරණය කිරීමට ඔබට ඉඩ සලසයි). JA3 ඔබට සේවාදායකයන් නිර්වචනය කිරීමට ඉඩ සලසයි, සහ JA3S ඔබට සේවාදායකයන් නිර්වචනය කිරීමට ඉඩ සලසයි. නිර්ණය කිරීමේ ප්රතිඵල රීති සැකසීමේ භාෂාව සහ ලඝු-සටහන් වල භාවිතා කළ හැක;
  • නව මෙහෙයුම් භාවිතයෙන් ක්‍රියාත්මක කරන ලද විශාල දත්ත කට්ටලවලින් සාම්පල ගැලපීමේ පර්යේෂණාත්මක හැකියාව එක් කරන ලදී දත්ත කට්ටලය සහ datarep. උදාහරණයක් ලෙස, ඇතුළත් කිරීම් මිලියන ගණනක් අඩංගු විශාල අසාදු ලේඛනවල වෙස් මුහුණු සෙවීම සඳහා විශේෂාංගය අදාළ වේ;
  • HTTP පරීක්ෂණ මාදිලිය පරීක්ෂණ කට්ටලයේ විස්තර කර ඇති සියලුම තත්වයන් පිළිබඳ සම්පූර්ණ ආවරණය සපයයි HTTP Evader (උදා, ගමනාගමනය තුළ අනිෂ්ට ක්‍රියාකාරකම් සැඟවීමට භාවිතා කරන තාක්ෂණික ක්‍රම ආවරණය කරයි);
  • රස්ට් භාෂාවෙන් මොඩියුල සංවර්ධනය කිරීම සඳහා මෙවලම් විකල්ප වලින් අනිවාර්ය සම්මත හැකියාවන් වෙත මාරු කර ඇත. අනාගතයේදී, ව්‍යාපෘති කේත පදනමේ රස්ට් භාවිතය පුළුල් කිරීමටත්, මොඩියුල ක්‍රමයෙන් රස්ට් හි සංවර්ධනය කරන ලද ප්‍රතිසම සමඟ ප්‍රතිස්ථාපනය කිරීමටත් සැලසුම් කර ඇත;
  • ප්‍රොටෝකෝල නිර්වචන එන්ජිම නිරවද්‍යතාවය වැඩි දියුණු කිරීමට සහ අසමමුහුර්ත ගමනාගමන ප්‍රවාහ හැසිරවීමට වැඩි දියුණු කර ඇත;
  • පැකට් විකේතනය කිරීමේදී අනාවරණය වූ අසාමාන්‍ය සිදුවීම් ගබඩා කරන EVE ලොගයට නව “විෂමතා” ඇතුළත් කිරීමේ වර්ගයක් සඳහා සහය එක් කර ඇත. EVE විසින් VLAN සහ රථවාහන ග්‍රහණ අතුරුමුහුණත් පිළිබඳ තොරතුරු ප්‍රදර්ශනය කිරීම ද පුළුල් කර ඇත. EVE http ලොග් සටහන් තුළ සියලුම HTTP ශීර්ෂයන් සුරැකීමට විකල්පයක් එක් කරන ලදී;
  • eBPF-පාදක හසුරුවන්නන් පැකට් ග්‍රහණය කර ගැනීම වේගවත් කිරීම සඳහා දෘඪාංග යාන්ත්‍රණ සඳහා සහය සපයයි. දෘඪාංග ත්වරණය දැනට Netronome ජාල ඇඩැප්ටර වලට සීමා වී ඇත, නමුත් ඉක්මනින් අනෙකුත් උපකරණ සඳහා ලබා ගත හැක;
  • Netmap රාමුව භාවිතයෙන් ගමනාගමනය ග්‍රහණය කර ගැනීමේ කේතය නැවත ලියා ඇත. අතථ්‍ය ස්විචයක් වැනි උසස් Netmap විශේෂාංග භාවිත කිරීමේ හැකියාව එක් කරන ලදී සුවදායක;
  • එකතු කරන ලදී Sticky Buffers සඳහා නව මූල පද නිර්වචන යෝජනා ක්‍රමයක් සඳහා සහාය. නව යෝජනා ක්‍රමය "protocol.buffer" ආකෘතියෙන් අර්ථ දක්වා ඇත, උදාහරණයක් ලෙස, URI පරීක්ෂා කිරීම සඳහා, මූල පදය "http_uri" වෙනුවට "http.uri" පෝරමය ගනී;
  • භාවිතා කරන සියලුම Python කේතය අනුකූලතාව සඳහා පරීක්ෂා කරනු ලැබේ
    පයිතන් 3;

  • Tilera architecture, text log dns.log සහ පැරණි log files-json.log සඳහා සහය අත්හිටුවා ඇත.

Suricata හි විශේෂාංග:

  • ස්කෑන් ප්රතිඵල පෙන්වීමට ඒකාබද්ධ ආකෘතියක් භාවිතා කිරීම ඒකාබද්ධ2, වැනි සම්මත විශ්ලේෂණ මෙවලම් භාවිතා කිරීමට ඉඩ සලසන Snort ව්‍යාපෘතිය මගින් ද භාවිතා වේ barnyard2. BASE, Snorby, Sguil සහ SQueRT නිෂ්පාදන සමඟ ඒකාබද්ධ වීමේ හැකියාව. PCAP ප්රතිදාන සහාය;
  • ප්‍රොටෝකෝල ස්වයංක්‍රීයව හඳුනාගැනීම සඳහා සහාය (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ආදිය), ඔබට වරාය අංකයට යොමු නොවී, ප්‍රොටෝකෝල වර්ගය අනුව පමණක් නීති රීති ක්‍රියාත්මක කිරීමට ඉඩ සලසයි (උදාහරණයක් ලෙස, HTTP අවහිර කරන්න. සම්මත නොවන වරායක ගමනාගමනය) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP සහ SSH ප්‍රොටෝකෝල සඳහා විකේතක තිබීම;
  • HTTP ගමනාගමනය විග්‍රහ කිරීමට සහ සාමාන්‍යකරණය කිරීමට Mod_Security ව්‍යාපෘතියේ කතුවරයා විසින් නිර්මාණය කරන ලද විශේෂ HTP පුස්තකාලයක් භාවිතා කරන ප්‍රබල HTTP ගමනාගමන විශ්ලේෂණ පද්ධතියකි. සංක්‍රමණ HTTP මාරුවීම් පිළිබඳ සවිස්තරාත්මක ලොගයක් පවත්වා ගැනීම සඳහා මොඩියුලයක් තිබේ; ලොගය සම්මත ආකෘතියකින් සුරකිනු ලැබේ.
    Apache. HTTP හරහා සම්ප්‍රේෂණය කරන ලද ගොනු ලබා ගැනීම සහ පරීක්ෂා කිරීම සහය දක්වයි. සම්පීඩිත අන්තර්ගතය විග්‍රහ කිරීම සඳහා සහාය. URI, කුකී, ශීර්ෂක, පරිශීලක නියෝජිතයා, ඉල්ලීම්/ප්‍රතිචාර ශරීරය මගින් හඳුනා ගැනීමේ හැකියාව;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING ඇතුළුව රථවාහන බාධා කිරීම් සඳහා විවිධ අතුරුමුහුණත් සඳහා සහාය. PCAP ආකෘතියෙන් දැනටමත් සුරකින ලද ගොනු විශ්ලේෂණය කළ හැකිය;
  • ඉහළ කාර්ය සාධනය, සාම්ප්රදායික උපකරණ මත 10 gigabits / sec දක්වා ප්රවාහ සැකසීමේ හැකියාව.
  • IP ලිපින විශාල කට්ටල සඳහා ඉහළ කාර්යසාධනයක් සහිත ආවරණ ගැලපුම් යාන්ත්‍රණය. වෙස්මුහුණු සහ නිත්‍ය ප්‍රකාශන මගින් අන්තර්ගතය තේරීම සඳහා සහාය. නම, වර්ගය හෝ MD5 චෙක්සම් අනුව ඒවා හඳුනා ගැනීම ඇතුළුව, තදබදයෙන් ගොනු හුදකලා කිරීම.
  • රීති වල විචල්‍යයන් භාවිතා කිරීමේ හැකියාව: ඔබට ප්‍රවාහයකින් තොරතුරු සුරැකිය හැකි අතර පසුව එය වෙනත් නීති වල භාවිතා කළ හැකිය;
  • වින්‍යාස ගොනු වල YAML ආකෘතිය භාවිතා කිරීම, යන්ත්‍ර ක්‍රියාවලියට පහසු වන අතරම පැහැදිලි බව පවත්වා ගැනීමට ඔබට ඉඩ සලසයි;
  • සම්පූර්ණ IPv6 සහාය;
  • පැකට් පැමිණෙන අනුපිළිවෙල කුමක් වුවත්, ප්‍රවාහ නිවැරදිව සැකසීමට ඉඩ සලසමින්, ස්වයංක්‍රීයව defragmentation සහ පැකට් නැවත එකලස් කිරීම සඳහා වූ එන්ජිම;
  • උමං ප්‍රොටෝකෝල සඳහා සහාය: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • පැකට් විකේතනය කිරීමේ සහාය: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL සම්බන්ධතා තුළ දිස්වන ලොග් යතුරු සහ සහතික සඳහා මාදිලිය;
  • උසස් විශ්ලේෂණයක් සැපයීමට සහ සම්මත නීති ප්‍රමාණවත් නොවන රථවාහන වර්ග හඳුනා ගැනීමට අවශ්‍ය අමතර හැකියාවන් ක්‍රියාත්මක කිරීමට Lua හි ස්ක්‍රිප්ට් ලිවීමේ හැකියාව.

    • මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න