Цисцо Цомпани о формировании кандидата в релизы полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Стабильный релиз планируется опубликовать в течение месяца.
В ветке Snort 3 полностью переосмыслена концепция продукта и переработана архитектура. Среди ключевых направлений развития Snort 3: упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Уведене су следеће значајне иновације:
- Направљен је прелазак на нови конфигурациони систем који нуди поједностављену синтаксу и омогућава коришћење скрипти за динамичко генерисање подешавања. ЛуаЈИТ се користи за обраду конфигурационих датотека. Додаци засновани на ЛуаЈИТ-у су обезбеђени са имплементацијом додатних опција за правила и систем евидентирања;
- Мотор за откривање напада је модернизован, правила су ажурирана и додата је могућност везивања бафера у правила (лепљиве бафере). Коришћен је Хиперсцан претраживач који је омогућио коришћење брзих и тачније покренутих образаца на основу регуларних израза у правилима;
- Додан је нови режим интроспекције за ХТТП који узима у обзир стање сесије и покрива 99% ситуација које подржава тест пакет . Добавлена система инспектирования трафика HTTP/2;
- Перформансе режима дубоке инспекције пакета су значајно побољшане. Додата могућност вишеструке обраде пакета, омогућавајући истовремено извршавање неколико нити са процесорима пакета и обезбеђујући линеарну скалабилност у зависности од броја ЦПУ језгара;
- Имплементирано је заједничко складиштење конфигурације и табеле атрибута, које се деле између различитих подсистема, што је значајно смањило потрошњу меморије елиминишући дуплирање информација;
- Нови систем евидентирања догађаја који користи ЈСОН формат и лако се интегрише са спољним платформама као што је Еластиц Стацк;
- Прелазак на модуларну архитектуру, могућност проширења функционалности кроз повезивање додатака и имплементацију кључних подсистема у облику заменљивих додатака. Тренутно, неколико стотина додатака је већ имплементирано за Снорт 3, који покривају различите области примене, на пример, омогућавајући вам да додате сопствене кодеке, режиме интроспекције, методе евидентирања, акције и опције у правилима;
- Аутоматско откривање покренутих услуга, елиминишући потребу за ручним навођењем активних мрежних портова.
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию. Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Добавлена поддержка перезагрузки настроек на лету; - Код пружа могућност коришћења Ц++ конструкција дефинисаних у Ц++14 стандарду (буилд захтева компајлер који подржава Ц++14);
- Додан нови ВКСЛАН руковалац;
- Побољшана претрага типова садржаја према садржају коришћењем ажурираних алтернативних имплементација алгоритма и ;
- Покретање се убрзава коришћењем више нити за компајлирање група правила;
- Додан нови механизам евидентирања;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах.
Извор: опеннет.ру