Ururka OISF (Open Information Security Foundation) sii daynta ogaanshaha iyo nidaamka ka-hortagga soo gelitaanka shabakadda , kaas oo bixiya qalabka lagu baaro noocyada kala duwan ee taraafikada. Habaynta Suricata waa suurtagal in la isticmaalo , oo uu sameeyay mashruuca Snort, iyo sidoo kale xeerar ΠΈ . Ilaha mashruuca shatiga ku haysta GPLv2.
Isbeddellada ugu waaweyn:
- Qaabab cusub oo lagu falanqeeyo iyo borotokoollada qorista ayaa la soo bandhigay
RDP, SNMP iyo SIP oo ku qoran Rust. Awoodda lagu galo nidaamka-hoosaadka EVE ayaa lagu daray qaybta falanqaynta FTP, iyada oo bixisa wax soo saarka dhacdada qaabka JSON; - Marka lagu daro taageerada habka aqoonsiga macmiilka ee JA3 TLS ee ka soo muuqday sii dayntii u dambaysay, taageer habka , Iyada oo ku saleysan sifooyinka gorgortanka isku xirka iyo cabbirrada la cayimay, go'aami waxa software loo isticmaalo in lagu dhiso xiriirka (tusaale, waxay kuu ogolaaneysaa inaad go'aamiso isticmaalka Tor iyo codsiyada kale ee caadiga ah). JA3 waxay kuu ogolaaneysaa inaad qeexdo macaamiisha, JA3S waxay kuu ogolaaneysaa inaad qeexdo server-yada. Natiijooyinka go'aaminta waxaa loo isticmaali karaa luqadda dejinta qaanuunka iyo qoraallada;
- Awood tijaabo ah oo lagu daray si loogu waafajiyo muunado xog badan, oo la hirgeliyay iyadoo la adeegsanayo hawlgallo cusub . Tusaale ahaan, sifada ayaa lagu dabaqi karaa raadinta maaskaro liisaska madow ee waaweyn oo ay ku jiraan malaayiin galmood;
- Habka baaritaanka HTTP wuxuu bixiyaa dabool buuxa dhammaan xaaladaha lagu sifeeyay qolka tijaabada (tusaale, waxay dabooshaa farsamooyinka loo isticmaalo in lagu qariyo dhaq-dhaqaaqyada xunxun ee taraafikada);
- Aaladaha lagu horumarinayo cutubyada luqadda miridhku waxa laga wareejiyay ikhtiyaarka ilaa awoodaha caadiga ah ee qasabka ah. Mustaqbalka, waxaa la qorsheeyay in la ballaariyo isticmaalka miridhku ee saldhigga code mashruuca iyo si tartiib tartiib ah u beddelo modules la analogues horumariyo in miridhku;
- Matoorka qeexida borotokoolka waa la hagaajiyay si loo hagaajiyo saxnaanta oo loo maareeyo socodka taraafikada ee aan sinnayn;
- Taageerada nooc cusub oo ah "aanomaly" gelitaanka ayaa lagu daray diiwaanka EVE, kaas oo kaydiya dhacdooyinka aan caadiga ahayn ee la ogaado marka xidhmada koodka la goynayo. EVE waxay kaloo balaadhisay soo bandhigida macluumaadka ku saabsan VLAN-yada iyo isku xidhka qabashada taraafikada. Ikhtiyaarka lagu daray si loo badbaadiyo dhammaan madaxyada HTTP gudaha EVE http gelitaanka;
- Xakameeyayaasha ku saleysan eBPF waxay taageero ka bixiyaan hababka qalabka si loo dardargeliyo qabashada xirmada. Dardargelinta qalabku hadda waxay ku kooban tahay adabiyeyaasha shabakadda Netronome, laakiin dhawaan ayaa loo heli doonaa qalab kale;
- Koodhka qabashada taraafikada iyadoo la isticmaalayo qaabka Netmapka ayaa dib loo qoray. Waxaa lagu daray awoodda isticmaalka astaamaha Netmap ee horumarsan sida beddelka farsamada ;
- taageerada nidaamka qeexida ereyada muhiimka ah ee cusub ee Sticky Buffers. Nidaamka cusub waxaa lagu qeexay qaabka "protocol.buffer", tusaale ahaan, kormeerida URI, ereyga muhiimka ah wuxuu qaadan doonaa foomka "http.uri" halkii uu ka ahaan lahaa "http_uri";
- Dhammaan koodka Python ee la isticmaalo waxaa lagu tijaabiyaa la jaanqaadka
Python 3; - Taageerada qaab dhismeedka Tilera, qoraalka qoraalka dns.log iyo galkii hore ee log-json.log waa la joojiyay.
Sifooyinka Suricata:
- Isticmaalka qaab midaysan si aad u muujiso natiijooyinka iskaanka , sidoo kale loo isticmaalo mashruuca Snort, kaas oo u oggolaanaya isticmaalka qalabka falanqaynta caadiga ah sida . Suurtagalnimada isdhexgalka BASE, Snorby, Sguil iyo SQueRT. Taageerada wax soo saarka PCAP;
- Taageerada ogaanshaha tooska ah ee borotokoolka (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, iwm.), taasoo kuu oggolaanaysa inaad ku shaqeyso qawaaniinta kaliya nooca borotokoolka, iyada oo aan loo tixraacin lambarka dekedda (tusaale, xannibo HTTP taraafikada dekedda aan caadiga ahayn) . Helitaanka decoders HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP iyo borotokoolka SSH;
- Nidaam xoog leh oo falanqaynta taraafikada HTTP oo isticmaala maktabad gaar ah oo HTP ah oo uu sameeyay qoraaga mashruuca Mod_Security si uu u kala saaro oo caadi uga dhigo taraafikada HTTP. Qayb ayaa diyaar u ah ilaalinta diiwaanka tafaasiisha HTTP ee wareejinta; galku waxa uu u kaydsan yahay qaab caadi ah
Apache Soo celinta iyo hubinta faylasha lagu gudbiyo HTTP waa la taageeray. Taageerada kala saarista waxyaabaha la isku cadeeyey. Awoodda lagu aqoonsan karo URI, Kukiyada, madax-madaxeedyada, wakiilka isticmaalaha, codsiga/jirka jawaabta; - Taageerada is-dhexgalyada kala duwan ee ka-hortagga taraafikada, oo ay ku jiraan NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Waa suurtagal in lagu falanqeeyo faylalka horay loo keydiyay oo qaab PCAP ah;
- Waxqabadka sare, awoodda habaynta socodka ilaa 10 gigabits / sec ee qalabka caadiga ah.
- Qaabka u dhigma maaskarada waxqabadka sare leh ee xirmooyin badan oo cinwaanada IP ah. Taageerada xulashada nuxurka waji-xidhka iyo tibaaxaha caadiga ah. Ka-soocida feylasha taraafikada, oo ay ku jirto aqoonsigooda magac ahaan, nooca ama MD5 checksum.
- Awoodda isticmaalka doorsoomayaasha xeerarka: waxaad kaydin kartaa macluumaadka durdur ka dibna u isticmaal xeerar kale;
- Isticmaalka qaabka YAML ee faylasha qaabeynta, kaas oo kuu ogolaanaya inaad ilaaliso caddayn inta aad si fudud u shaqeyneyso mashiinka;
- IPV6 taageero buuxda;
- Matoorka lagu dhex dhisay si toos ah u jajabinta iyo dib-u-ururinta baakadaha, u oggolaanaya habaynta saxda ah ee durdurrada, iyada oo aan loo eegin nidaamka ay baakidhyadu yimaadaan;
- Taageerada borotokoolka tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Taageerada furista xirmada: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Habka gelitaanka furayaasha iyo shahaadooyinka ka dhex muuqda xidhiidhada TLS/SSL;
- Awoodda qorista qoraallada Lua si ay u bixiso falanqayn horumarsan oo ay hirgeliso awoodo dheeraad ah oo loo baahan yahay si loo aqoonsado noocyada taraafikada ee xeerarka caadiga ahi aanay ku filnayn.
Source: opennet.ru