Organisation OISF (Open Information Security Foundation) lansering av system för upptäckt och förebyggande av nätverksintrång , vilket ger ett sätt att inspektera olika typer av trafik. I Suricata-konfigurationer är det tillåtet att använda , utvecklad av Snort-projektet, samt uppsättningar av regler и . Projektets källkod licensierad under GPLv2.
Huvudändringar:
- Introducerade nya parsnings- och loggningsmoduler för protokoll
RDP, SNMP och SIP skrivna i Rust. Möjligheten att logga via EVE-undersystemet, som ger utdata av händelser i JSON-format, har lagts till i FTP-parsningsmodulen; - Förutom stöd för JA3 TLS klientautentiseringsmetod som introducerades i den tidigare versionen, stöd för metoden , baserat på detaljerna för anslutningsförhandling och de angivna parametrarna, bestäm vilken programvara som används för att upprätta en anslutning (det låter dig till exempel bestämma användningen av Tor och andra typiska applikationer). JA3 gör det möjligt att definiera klienter och JA3S - servrar. Resultaten av bestämningen kan användas i regelinställningsspråket och i loggarna;
- Lade till experimentell förmåga att matcha med ett urval av stora datamängder, implementerade med nya operationer . Funktionen är till exempel användbar för att söka efter masker i stora svarta listor med miljontals poster;
- HTTP-inspektionsläget ger full täckning av alla situationer som beskrivs i testsviten (täcker till exempel metoder som används för att dölja skadlig aktivitet i trafiken);
- Rostmodulutvecklingsverktyg har flyttats från alternativ till obligatoriska standardfunktioner. I framtiden är det planerat att utöka användningen av Rust i projektets kodbas och successivt ersätta moduler med analoger utvecklade i Rust;
- Protokolldetektionsmotorn har förbättrats vad gäller noggrannhet och hantering av asynkrona trafikflöden;
- Stöd har lagts till i EVE-loggen för en ny posttyp, "anomali", som lagrar atypiska händelser som upptäcks när paket avkodas. EVE utökade också visningen av information om VLAN och trafikupptagningsgränssnitt. Tillagt alternativ för att spara alla HTTP-rubriker i EVE-logg http-poster;
- eBPF-baserade hanterare ger stöd för hårdvarumekanismer för att påskynda paketfångst. Hårdvaruacceleration är för närvarande begränsad till Netronome-nätverksadaptrar, men kommer snart att dyka upp för annan utrustning;
- Omskriven kod för att fånga trafik med hjälp av Netmap-ramverket. Lade till möjligheten att använda avancerade Netmap-funktioner som en virtuell switch ;
- stöd för ett nytt nyckelordsdefinitionsschema för Sticky Buffers. Det nya schemat är definierat i protocol.buffer-format, till exempel, för att introspektera en URI, skulle nyckelordet vara "http.uri" istället för "http_uri";
- All Python-kod som används testas för kompatibilitet med
Python3; - Stöd för Tilera-arkitekturen, dns.log-textloggen och den gamla files-json.log-loggen har upphört.
Funktioner hos Suricata:
- Använda ett enhetligt format för att visa valideringsresultat , som också används av Snort-projektet, vilket tillåter användning av standardanalysverktyg som t.ex . Möjlighet att integrera med produkter från BASE, Snorby, Sguil och SQueRT. Stöd för utdata i PCAP-format;
- Stöd för automatisk upptäckt av protokoll (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), vilket gör att du kan arbeta i reglerna endast efter protokolltypen, utan hänvisning till portnumret (till exempel , för att blockera HTTP-trafik på en icke-standardport) . Avkodare för HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP och SSH-protokoll;
- Ett kraftfullt HTTP-trafikanalyssystem som använder ett speciellt HTP-bibliotek skapat av författaren till Mod_Security-projektet för att analysera och normalisera HTTP-trafik. En modul är tillgänglig för att upprätthålla en detaljerad logg över HTTP-överföringar för transit, loggen sparas i ett standardformat
Apache. Extrahering och verifiering av filer som överförs via HTTP-protokollet stöds. Stöd för att analysera komprimerat innehåll. Möjlighet att identifiera med URI, Cookie, rubriker, användaragent, begäran/svarskropp; - Stöd för olika gränssnitt för att avlyssna trafik, inklusive NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Det är möjligt att analysera redan sparade filer i PCAP-format;
- Hög prestanda, förmågan att bearbeta strömmar upp till 10 gigabit/sek på konventionell utrustning.
- Högpresterande maskmatchningsmotor med stora uppsättningar av IP-adresser. Stöd för innehållsval med mask och reguljära uttryck. Separation av filer från trafik, inklusive deras identifiering med namn, typ eller MD5-kontrollsumma.
- Möjlighet att använda variabler i regler: du kan spara information från strömmen och senare använda den i andra regler;
- Använda YAML-formatet i konfigurationsfiler, vilket gör att du kan bibehålla synlighet med enkel maskinbearbetning;
- Fullständigt IPv6-stöd;
- Inbyggd motor för automatisk defragmentering och återmontering av paket, vilket gör det möjligt att säkerställa korrekt bearbetning av strömmar, oavsett i vilken ordning paketen anländer;
- Stöd för tunnlingsprotokoll: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Stöd för paketavkodning: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Loggningsläge för nycklar och certifikat som visas inom TLS/SSL-anslutningar;
- Möjligheten att skriva Lua-skript för att tillhandahålla avancerad analys och implementera ytterligare funktioner som behövs för att identifiera trafiktyper för vilka standardregler inte räcker.
Källa: opennet.ru