ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Suricata 6.0 ආක්‍රමණය හඳුනාගැනීමේ පද්ධතිය මුදා හැරීම

Suricata 6.0 ආක්‍රමණය හඳුනාගැනීමේ පද්ධතිය මුදා හැරීම

После года разработки организация OISF (Open Information Security Foundation) පළ කර ඇත ජාල ආක්‍රමණය හඳුනා ගැනීම සහ වැළැක්වීමේ පද්ධතිය මුදා හැරීම මීර්කට් 6.0, විවිධ වර්ගයේ රථවාහන පරීක්ෂා කිරීම සඳහා මෙවලම් සපයයි. Suricata වින්යාසය තුළ එය භාවිතා කළ හැකිය අත්සන් දත්ත සමුදායන්, Snort ව්යාපෘතිය මගින් සංවර්ධනය, මෙන්ම නීති මාලාවක් නැගී එන තර්ජන и නැගී එන තර්ජන Pro. ව්යාපෘති මූලාශ්ර බෝ වීම GPLv2 යටතේ බලපත්‍ර ලබා ඇත.

ප්රධාන වෙනස්කම්:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (හස්ෂ්).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Suricata හි විශේෂාංග:

  • ස්කෑන් ප්රතිඵල පෙන්වීමට ඒකාබද්ධ ආකෘතියක් භාවිතා කිරීම ඒකාබද්ධ2, වැනි සම්මත විශ්ලේෂණ මෙවලම් භාවිතා කිරීමට ඉඩ සලසන Snort ව්‍යාපෘතිය මගින් ද භාවිතා වේ barnyard2. BASE, Snorby, Sguil සහ SQueRT නිෂ්පාදන සමඟ ඒකාබද්ධ වීමේ හැකියාව. PCAP ප්රතිදාන සහාය;
  • ප්‍රොටෝකෝල ස්වයංක්‍රීයව හඳුනාගැනීම සඳහා සහාය (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ආදිය), ඔබට වරාය අංකයට යොමු නොවී, ප්‍රොටෝකෝල වර්ගය අනුව පමණක් නීති රීති ක්‍රියාත්මක කිරීමට ඉඩ සලසයි (උදාහරණයක් ලෙස, HTTP අවහිර කරන්න. සම්මත නොවන වරායක ගමනාගමනය) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP සහ SSH ප්‍රොටෝකෝල සඳහා විකේතක තිබීම;
  • HTTP ගමනාගමනය විග්‍රහ කිරීමට සහ සාමාන්‍යකරණය කිරීමට Mod_Security ව්‍යාපෘතියේ කතුවරයා විසින් නිර්මාණය කරන ලද විශේෂ HTP පුස්තකාලයක් භාවිතා කරන ප්‍රබල HTTP ගමනාගමන විශ්ලේෂණ පද්ධතියකි. සංක්‍රමණ HTTP මාරුවීම් පිළිබඳ සවිස්තරාත්මක ලොගයක් පවත්වා ගැනීම සඳහා මොඩියුලයක් තිබේ; ලොගය සම්මත ආකෘතියකින් සුරකිනු ලැබේ.
    Apache. HTTP හරහා සම්ප්‍රේෂණය කරන ලද ගොනු ලබා ගැනීම සහ පරීක්ෂා කිරීම සහය දක්වයි. සම්පීඩිත අන්තර්ගතය විග්‍රහ කිරීම සඳහා සහාය. URI, කුකී, ශීර්ෂක, පරිශීලක නියෝජිතයා, ඉල්ලීම්/ප්‍රතිචාර ශරීරය මගින් හඳුනා ගැනීමේ හැකියාව;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING ඇතුළුව රථවාහන බාධා කිරීම් සඳහා විවිධ අතුරුමුහුණත් සඳහා සහාය. PCAP ආකෘතියෙන් දැනටමත් සුරකින ලද ගොනු විශ්ලේෂණය කළ හැකිය;
  • ඉහළ කාර්ය සාධනය, සාම්ප්රදායික උපකරණ මත 10 gigabits / sec දක්වා ප්රවාහ සැකසීමේ හැකියාව.
  • IP ලිපින විශාල කට්ටල සඳහා ඉහළ කාර්යසාධනයක් සහිත ආවරණ ගැලපුම් යාන්ත්‍රණය. වෙස්මුහුණු සහ නිත්‍ය ප්‍රකාශන මගින් අන්තර්ගතය තේරීම සඳහා සහාය. නම, වර්ගය හෝ MD5 චෙක්සම් අනුව ඒවා හඳුනා ගැනීම ඇතුළුව, තදබදයෙන් ගොනු හුදකලා කිරීම.
  • රීති වල විචල්‍යයන් භාවිතා කිරීමේ හැකියාව: ඔබට ප්‍රවාහයකින් තොරතුරු සුරැකිය හැකි අතර පසුව එය වෙනත් නීති වල භාවිතා කළ හැකිය;
  • වින්‍යාස ගොනු වල YAML ආකෘතිය භාවිතා කිරීම, යන්ත්‍ර ක්‍රියාවලියට පහසු වන අතරම පැහැදිලි බව පවත්වා ගැනීමට ඔබට ඉඩ සලසයි;
  • සම්පූර්ණ IPv6 සහාය;
  • පැකට් පැමිණෙන අනුපිළිවෙල කුමක් වුවත්, ප්‍රවාහ නිවැරදිව සැකසීමට ඉඩ සලසමින්, ස්වයංක්‍රීයව defragmentation සහ පැකට් නැවත එකලස් කිරීම සඳහා වූ එන්ජිම;
  • උමං ප්‍රොටෝකෝල සඳහා සහාය: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • පැකට් විකේතනය කිරීමේ සහාය: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL සම්බන්ධතා තුළ දිස්වන ලොග් යතුරු සහ සහතික සඳහා මාදිලිය;
  • උසස් විශ්ලේෂණයක් සැපයීමට සහ සම්මත නීති ප්‍රමාණවත් නොවන රථවාහන වර්ග හඳුනා ගැනීමට අවශ්‍ය අමතර හැකියාවන් ක්‍රියාත්මක කිරීමට Lua හි ස්ක්‍රිප්ට් ලිවීමේ හැකියාව.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න