ProHoster > blog > habari za mtandao > Suricata 5.0 mfumo wa kugundua mashambulizi unapatikana

Suricata 5.0 mfumo wa kugundua mashambulizi unapatikana

Shirika la OISF (Wakfu wa Open Information Security) ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»Π° kutolewa kwa mfumo wa kugundua uingiliaji wa mtandao na kuzuia Meerkat 5.0, ambayo hutoa zana za kukagua aina mbalimbali za trafiki. Katika usanidi wa Suricata inawezekana kutumia hifadhidata za saini, iliyotengenezwa na mradi wa Snort, pamoja na seti za sheria Vitisho Vinavyojitokeza ΠΈ Vitisho vinavyojitokeza Pro. Vyanzo vya mradi kuenea iliyopewa leseni chini ya GPLv2.

Mabadiliko kuu:

  • Moduli mpya za uchanganuzi na itifaki za ukataji miti zimeanzishwa
    RDP, SNMP na SIP imeandikwa kwa Rust. Uwezo wa kuingia kupitia mfumo mdogo wa EVE umeongezwa kwenye moduli ya uchanganuzi ya FTP, ikitoa matokeo ya tukio katika umbizo la JSON;

  • Kando na usaidizi wa mbinu ya utambulisho wa mteja wa JA3 TLS iliyoonekana katika toleo la mwisho, usaidizi wa mbinu hiyo. JA3S, kuruhusu Kulingana na sifa za mazungumzo ya uunganisho na vigezo maalum, tambua ni programu gani inayotumiwa kuanzisha uhusiano (kwa mfano, inakuwezesha kuamua matumizi ya Tor na matumizi mengine ya kawaida). JA3 hukuruhusu kufafanua wateja, na JA3S hukuruhusu kufafanua seva. Matokeo ya uamuzi yanaweza kutumika katika lugha ya kuweka sheria na katika kumbukumbu;
  • Umeongeza uwezo wa majaribio wa kulinganisha sampuli kutoka kwa seti kubwa za data, zinazotekelezwa kwa kutumia utendakazi mpya hifadhidata na hifadhidata. Kwa mfano, kipengele hiki kinatumika katika kutafuta vinyago katika orodha kubwa zisizoruhusiwa zilizo na mamilioni ya maingizo;
  • Hali ya ukaguzi wa HTTP hutoa ufikiaji kamili wa hali zote zilizofafanuliwa katika safu ya majaribio HTTP Evader (kwa mfano, inashughulikia mbinu zinazotumiwa kuficha shughuli hasidi katika trafiki);
  • Zana za kuunda moduli katika lugha ya Rust zimehamishwa kutoka chaguo hadi uwezo wa kawaida wa lazima. Katika siku zijazo, imepangwa kupanua matumizi ya Rust katika msingi wa kanuni ya mradi na hatua kwa hatua kuchukua nafasi ya moduli na analogues zilizotengenezwa katika Rust;
  • Injini ya ufafanuzi wa itifaki imeboreshwa ili kuboresha usahihi na kushughulikia mtiririko wa trafiki usio na usawa;
  • Usaidizi wa aina mpya ya ingizo "isiyo ya kawaida" umeongezwa kwenye kumbukumbu ya EVE, ambayo huhifadhi matukio yasiyo ya kawaida yanayotambuliwa wakati wa kusimbua pakiti. EVE pia imepanua onyesho la habari kuhusu VLAN na violesura vya kunasa trafiki. Chaguo lililoongezwa la kuhifadhi vichwa vyote vya HTTP katika maingizo ya logi ya EVE http;
  • Vishikizi vinavyotegemea eBPF hutoa usaidizi kwa mbinu za maunzi kwa ajili ya kuharakisha kunasa pakiti. Uongezaji kasi wa vifaa kwa sasa ni mdogo kwa adapta za mtandao za Netronome, lakini hivi karibuni zitapatikana kwa vifaa vingine;
  • Msimbo wa kunasa trafiki kwa kutumia mfumo wa Netmap umeandikwa upya. Imeongeza uwezo wa kutumia vipengele vya kina vya Netmap kama vile swichi pepe VALE;
  • Imeongezwa usaidizi wa mpango mpya wa ufafanuzi wa nenomsingi kwa Vibafa Vinata. Mpango mpya umefafanuliwa katika muundo wa "protocol.buffer", kwa mfano, kwa kukagua URI, neno kuu litachukua fomu ya "http.uri" badala ya "http_uri";
  • Nambari zote za Python zinazotumiwa hupimwa kwa utangamano na
    Chatu 3;

  • Usaidizi wa usanifu wa Tilera, kumbukumbu ya maandishi dns.log na faili za kumbukumbu za zamani-json.log umekatishwa.

Vipengele vya Suricata:

  • Kwa kutumia umbizo lililounganishwa ili kuonyesha matokeo ya uchanganuzi Umoja2, pia hutumiwa na mradi wa Snort, ambayo inaruhusu matumizi ya zana za uchambuzi wa kawaida kama vile bustani2. Uwezekano wa kuunganishwa na bidhaa za BASE, Snorby, Sguil na SQueRT. msaada wa pato la PCAP;
  • Usaidizi wa ugunduzi wa kiotomatiki wa itifaki (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, n.k.), hukuruhusu kufanya kazi kwa sheria tu kwa aina ya itifaki, bila kutaja nambari ya bandari (kwa mfano, kuzuia HTTP. trafiki kwenye bandari isiyo ya kawaida) . Upatikanaji wa avkodare za HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP na itifaki za SSH;
  • Mfumo madhubuti wa uchanganuzi wa trafiki wa HTTP unaotumia maktaba maalum ya HTP iliyoundwa na mwandishi wa mradi wa Mod_Security kuchanganua na kuhalalisha trafiki ya HTTP. Sehemu inapatikana kwa ajili ya kudumisha kumbukumbu ya kina ya uhamishaji wa HTTP; kumbukumbu huhifadhiwa katika umbizo la kawaida
    Apache. Kurejesha na kuangalia faili zinazotumwa kupitia HTTP kunatumika. Usaidizi wa kuchanganua maudhui yaliyobanwa. Uwezo wa kutambua kwa URI, Cookie, vichwa, wakala wa mtumiaji, shirika la ombi/majibu;

  • Usaidizi wa violesura mbalimbali vya kukatiza trafiki, ikiwa ni pamoja na NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Inawezekana kuchambua faili zilizohifadhiwa tayari katika muundo wa PCAP;
  • Utendaji wa juu, uwezo wa kusindika hutiririka hadi gigabiti 10 kwa sekunde kwenye vifaa vya kawaida.
  • Utaratibu wa kulinganisha vinyago vya utendaji wa juu kwa seti kubwa za anwani za IP. Usaidizi wa kuchagua maudhui kwa kutumia barakoa na misemo ya kawaida. Kutenga faili kutoka kwa trafiki, ikijumuisha utambulisho wao kwa jina, aina au ukaguzi wa MD5.
  • Uwezo wa kutumia vigezo katika sheria: unaweza kuhifadhi habari kutoka kwa mkondo na baadaye uitumie katika sheria zingine;
  • Matumizi ya umbizo la YAML katika faili za usanidi, ambayo hukuruhusu kudumisha uwazi huku ukiwa rahisi kuchakata kwa mashine;
  • Usaidizi kamili wa IPv6;
  • Injini iliyojengwa kwa uharibifu wa moja kwa moja na kuunganisha tena pakiti, kuruhusu usindikaji sahihi wa mito, bila kujali utaratibu ambao pakiti hufika;
  • Msaada kwa itifaki za tunnel: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Usaidizi wa kusimbua pakiti: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Hali ya funguo za kuweka kumbukumbu na vyeti vinavyoonekana ndani ya miunganisho ya TLS/SSL;
  • Uwezo wa kuandika hati katika Lua ili kutoa uchanganuzi wa hali ya juu na kutekeleza uwezo wa ziada unaohitajika kutambua aina za trafiki ambazo sheria za kawaida hazitoshi.

    • Chanzo: opennet.ru

Kuongeza maoni