புரோஹோஸ்டர் > Блог > இணைய செய்தி > சூரிகாட்டா 6.0 ஊடுருவல் கண்டறிதல் அமைப்பின் வெளியீடு

சூரிகாட்டா 6.0 ஊடுருவல் கண்டறிதல் அமைப்பின் வெளியீடு

ஒரு வருட வளர்ச்சிக்குப் பிறகு, OISF (திறந்த தகவல் பாதுகாப்பு அறக்கட்டளை) அமைப்பு வெளியிடப்பட்ட நெட்வொர்க் ஊடுருவல் கண்டறிதல் மற்றும் தடுப்பு அமைப்பின் வெளியீடு மீர்கட் 6.0, இது பல்வேறு வகையான போக்குவரத்தை ஆய்வு செய்வதற்கான வழிமுறையை வழங்குகிறது. Suricata கட்டமைப்புகளில், அதை பயன்படுத்த அனுமதிக்கப்படுகிறது கையொப்ப அடிப்படைகள், Snort திட்டத்தால் உருவாக்கப்பட்டது, அத்துடன் விதிகளின் தொகுப்புகள் வெளிவரும் அச்சுறுத்தல்கள் и வளர்ந்து வரும் அச்சுறுத்தல்கள் ப்ரோ. திட்ட மூல குறியீடு பரவுதல் GPLv2 இன் கீழ் உரிமம் பெற்றது.

முக்கிய மாற்றங்கள்:

  • HTTP/2க்கான ஆரம்ப ஆதரவு.
  • RFB மற்றும் MQTT நெறிமுறைகளுக்கான ஆதரவு, நெறிமுறையை வரையறுத்து ஒரு பதிவை பராமரிக்கும் திறன் உட்பட.
  • DCERPC நெறிமுறைக்கு உள்நுழைவதற்கான சாத்தியம்.
  • JSON வடிவத்தில் நிகழ்வு வெளியீட்டை வழங்கும் EVE துணை அமைப்பு மூலம் பதிவு செய்யும் செயல்திறனில் குறிப்பிடத்தக்க முன்னேற்றம். ரஸ்ட் மொழியில் எழுதப்பட்ட புதிய JSON ஸ்டாக் பில்டரைப் பயன்படுத்தியதன் மூலம் முடுக்கம் அடையப்பட்டது.
  • EVE பதிவு அமைப்பின் அளவிடுதல் அதிகரிக்கப்பட்டுள்ளது மற்றும் ஒவ்வொரு தொடருக்கும் தனித்தனி பதிவு கோப்பை பராமரிக்கும் திறன் செயல்படுத்தப்பட்டுள்ளது.
  • பதிவில் தகவலை மீட்டமைப்பதற்கான நிபந்தனைகளை வரையறுக்கும் திறன்.
  • EVE பதிவில் MAC முகவரிகளைப் பிரதிபலிக்கும் திறன் மற்றும் DNS பதிவின் விவரங்களை அதிகரிக்கும்.
  • ஓட்ட இயந்திரத்தின் செயல்திறனை மேம்படுத்துதல்.
  • SSH செயலாக்கங்களை அடையாளம் காண்பதற்கான ஆதரவு (ஹாஷ்).
  • GENEVE டன்னல் டிகோடரை செயல்படுத்துதல்.
  • செயலாக்கத்திற்கான குறியீடு ரஸ்ட் மொழியில் மீண்டும் எழுதப்பட்டது ASN.1, DCERPC மற்றும் SSH. ரஸ்ட் புதிய நெறிமுறைகளையும் ஆதரிக்கிறது.
  • விதி வரையறை மொழியில், from_end அளவுருக்கான ஆதரவு byte_jump முக்கிய சொல்லுடன் சேர்க்கப்பட்டுள்ளது, மேலும் பிட்மாஸ்க் அளவுருக்கான ஆதரவு byte_test இல் சேர்க்கப்பட்டுள்ளது. துணைச்சரத்தைப் பிடிக்க வழக்கமான வெளிப்பாடுகளை (pcre) பயன்படுத்த pcrexform திறவுச்சொல் செயல்படுத்தப்பட்டது. urldcode மாற்றம் சேர்க்கப்பட்டது. byte_math முக்கிய வார்த்தை சேர்க்கப்பட்டது.
  • ரஸ்ட் மற்றும் சி மொழிகளில் பிணைப்புகளை உருவாக்க cbindgen ஐப் பயன்படுத்தும் திறனை வழங்குகிறது.
  • ஆரம்ப சொருகி ஆதரவு சேர்க்கப்பட்டது.

சூரிகாட்டாவின் அம்சங்கள்:

  • சரிபார்ப்பு முடிவுகளைக் காட்ட ஒரு ஒருங்கிணைந்த வடிவமைப்பைப் பயன்படுத்துதல் ஒருங்கிணைந்த2, Snort திட்டத்தால் பயன்படுத்தப்படுகிறது, இது போன்ற நிலையான பகுப்பாய்வு கருவிகளைப் பயன்படுத்த அனுமதிக்கிறது களஞ்சியம்2. BASE, Snorby, Sguil மற்றும் SQueRT தயாரிப்புகளுடன் ஒருங்கிணைக்கும் திறன். PCAP வடிவத்தில் வெளியீட்டிற்கான ஆதரவு;
  • நெறிமுறைகளை (ஐபி, டிசிபி, யுடிபி, ஐசிஎம்பி, எச்டிடிபி, டிஎல்எஸ், எஃப்டிபி, எஸ்எம்பி, முதலியன) தானாகக் கண்டறிவதற்கான ஆதரவு, இது போர்ட் எண்ணைக் குறிப்பிடாமல், நெறிமுறை வகையால் மட்டுமே விதிகளில் செயல்பட உங்களை அனுமதிக்கிறது (எடுத்துக்காட்டாக , தரமற்ற போர்ட்டில் HTTP போக்குவரத்தைத் தடுக்க) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP மற்றும் SSH நெறிமுறைகளுக்கான குறிவிலக்கிகள்;
  • HTTP ட்ராஃபிக்கை அலசவும் இயல்பாக்கவும் Mod_Security திட்டத்தின் ஆசிரியரால் உருவாக்கப்பட்ட சிறப்பு HTP நூலகத்தைப் பயன்படுத்தும் சக்திவாய்ந்த HTTP போக்குவரத்து பகுப்பாய்வு அமைப்பு. போக்குவரத்து HTTP இடமாற்றங்களின் விரிவான பதிவை பராமரிக்க ஒரு தொகுதி உள்ளது, பதிவு நிலையான வடிவத்தில் சேமிக்கப்படுகிறது
    அப்பாச்சி. HTTP நெறிமுறை வழியாக மாற்றப்பட்ட கோப்புகளின் பிரித்தெடுத்தல் மற்றும் சரிபார்ப்பு ஆதரிக்கப்படுகிறது. சுருக்கப்பட்ட உள்ளடக்கத்தை பாகுபடுத்துவதற்கான ஆதரவு. URI, குக்கீ, தலைப்புகள், பயனர் முகவர், கோரிக்கை/பதில் அமைப்பு மூலம் அடையாளம் காணும் திறன்;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING உள்ளிட்ட ட்ராஃபிக்கை குறுக்கிடுவதற்கான பல்வேறு இடைமுகங்களுக்கான ஆதரவு. PCAP வடிவத்தில் ஏற்கனவே சேமிக்கப்பட்ட கோப்புகளை பகுப்பாய்வு செய்ய முடியும்;
  • உயர் செயல்திறன், வழக்கமான உபகரணங்களில் 10 ஜிகாபிட் / நொடி வரை ஸ்ட்ரீம்களை செயலாக்கும் திறன்.
  • ஐபி முகவரிகளின் பெரிய தொகுப்புகளுடன் கூடிய உயர் செயல்திறன் மாஸ்க் பொருத்தும் இயந்திரம். முகமூடி மற்றும் வழக்கமான வெளிப்பாடுகள் மூலம் உள்ளடக்கத்தைத் தேர்ந்தெடுப்பதற்கான ஆதரவு. பெயர், வகை அல்லது MD5 செக்சம் மூலம் அவற்றின் அடையாளம் உட்பட, டிராஃபிக்கிலிருந்து கோப்புகளைப் பிரித்தல்.
  • விதிகளில் மாறிகளைப் பயன்படுத்துவதற்கான திறன்: நீங்கள் ஸ்ட்ரீமில் இருந்து தகவலைச் சேமித்து பின்னர் பிற விதிகளில் பயன்படுத்தலாம்;
  • உள்ளமைவு கோப்புகளில் YAML வடிவமைப்பைப் பயன்படுத்துதல், இது இயந்திர செயலாக்கத்தில் எளிதாகத் தெரிவுநிலையைப் பராமரிக்க உங்களை அனுமதிக்கிறது;
  • முழு IPv6 ஆதரவு;
  • தானாக டிஃப்ராக்மென்டேஷன் மற்றும் பாக்கெட்டுகளை மீண்டும் இணைப்பதற்கான உள்ளமைக்கப்பட்ட இயந்திரம், இது பாக்கெட்டுகள் எந்த வரிசையில் வந்தாலும், ஸ்ட்ரீம்களின் சரியான செயலாக்கத்தை உறுதிப்படுத்த அனுமதிக்கிறது;
  • சுரங்கப்பாதை நெறிமுறைகளுக்கான ஆதரவு: டெரிடோ, ஐபி-ஐபி, ஐபி6-ஐபி4, ஐபி4-ஐபி6, ஜிஆர்இ;
  • பாக்கெட் டிகோடிங் ஆதரவு: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, ஈதர்நெட், PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL இணைப்புகளில் தோன்றும் விசைகள் மற்றும் சான்றிதழ்களுக்கான பதிவு முறை;
  • மேம்பட்ட பகுப்பாய்வை வழங்க லுவா ஸ்கிரிப்ட்களை எழுதும் திறன் மற்றும் நிலையான விதிகள் போதுமானதாக இல்லாத போக்குவரத்து வகைகளை அடையாளம் காண தேவையான கூடுதல் அம்சங்களை செயல்படுத்துதல்.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்