Suricata 5.0 అటాక్ డిటెక్షన్ సిస్టమ్ అందుబాటులో ఉంది

ఆర్గనైజేషన్ OISF (ఓపెన్ ఇన్ఫర్మేషన్ సెక్యూరిటీ ఫౌండేషన్) ప్రచురించిన నెట్‌వర్క్ చొరబాటు గుర్తింపు మరియు నివారణ వ్యవస్థ విడుదల మీర్కట్ 5.0, ఇది వివిధ రకాల ట్రాఫిక్‌ను తనిఖీ చేయడానికి సాధనాలను అందిస్తుంది. Suricata కాన్ఫిగరేషన్‌లలో దీనిని ఉపయోగించడం సాధ్యమవుతుంది సంతకం డేటాబేస్, Snort ప్రాజెక్ట్ ద్వారా అభివృద్ధి చేయబడింది, అలాగే నియమాల సెట్లు ఉద్భవిస్తున్న బెదిరింపులు и ఉద్భవిస్తున్న బెదిరింపులు ప్రో. ప్రాజెక్ట్ మూలాలు వ్యాప్తి GPLv2 కింద లైసెన్స్ పొందింది.

ప్రధాన మార్పులు:

• పార్సింగ్ మరియు లాగింగ్ ప్రోటోకాల్‌ల కోసం కొత్త మాడ్యూల్స్ ప్రవేశపెట్టబడ్డాయి
  RDP, SNMP మరియు SIP రస్ట్‌లో వ్రాయబడ్డాయి. EVE సబ్‌సిస్టమ్ ద్వారా లాగ్ చేసే సామర్థ్యం FTP పార్సింగ్ మాడ్యూల్‌కు జోడించబడింది, JSON ఆకృతిలో ఈవెంట్ అవుట్‌పుట్‌ను అందిస్తుంది;

• చివరి విడుదలలో కనిపించిన JA3 TLS క్లయింట్ గుర్తింపు పద్ధతికి మద్దతుతో పాటు, పద్ధతికి మద్దతు JA3S, అనుమతించడం కనెక్షన్ నెగోషియేషన్ యొక్క లక్షణాలు మరియు పేర్కొన్న పారామితుల ఆధారంగా, కనెక్షన్‌ని స్థాపించడానికి ఏ సాఫ్ట్‌వేర్ ఉపయోగించబడుతుందో నిర్ణయించండి (ఉదాహరణకు, ఇది టోర్ మరియు ఇతర ప్రామాణిక అప్లికేషన్‌ల వినియోగాన్ని నిర్ణయించడానికి మిమ్మల్ని అనుమతిస్తుంది). JA3 క్లయింట్‌లను నిర్వచించడానికి మిమ్మల్ని అనుమతిస్తుంది మరియు JA3S సర్వర్‌లను నిర్వచించడానికి మిమ్మల్ని అనుమతిస్తుంది. నిర్ణయం యొక్క ఫలితాలు రూల్ సెట్టింగ్ భాషలో మరియు లాగ్‌లలో ఉపయోగించవచ్చు;
• కొత్త కార్యకలాపాలను ఉపయోగించి అమలు చేయబడిన పెద్ద డేటా సెట్‌ల నుండి నమూనాలను సరిపోల్చడానికి ప్రయోగాత్మక సామర్థ్యం జోడించబడింది డేటాసెట్ మరియు డేటారెప్. ఉదాహరణకు, మిలియన్ల కొద్దీ ఎంట్రీలను కలిగి ఉన్న పెద్ద బ్లాక్‌లిస్ట్‌లలో మాస్క్‌ల కోసం వెతకడానికి ఈ ఫీచర్ వర్తిస్తుంది;
• HTTP తనిఖీ మోడ్ టెస్ట్ సూట్‌లో వివరించిన అన్ని పరిస్థితుల పూర్తి కవరేజీని అందిస్తుంది HTTP ఎవాడర్ (ఉదా, ట్రాఫిక్‌లో హానికరమైన కార్యాచరణను దాచడానికి ఉపయోగించే సాంకేతికతలను కవర్ చేస్తుంది);
• రస్ట్ భాషలో మాడ్యూల్‌లను అభివృద్ధి చేయడానికి సాధనాలు ఎంపికల నుండి తప్పనిసరి ప్రామాణిక సామర్థ్యాలకు బదిలీ చేయబడ్డాయి. భవిష్యత్తులో, ప్రాజెక్ట్ కోడ్ బేస్లో రస్ట్ యొక్క వినియోగాన్ని విస్తరించేందుకు మరియు రస్ట్లో అభివృద్ధి చేసిన అనలాగ్లతో క్రమంగా మాడ్యూల్స్ను భర్తీ చేయడానికి ప్రణాళిక చేయబడింది;
• ప్రోటోకాల్ డెఫినిషన్ ఇంజిన్ ఖచ్చితత్వాన్ని మెరుగుపరచడానికి మరియు అసమకాలిక ట్రాఫిక్ ప్రవాహాలను నిర్వహించడానికి మెరుగుపరచబడింది;
• ప్యాకెట్‌లను డీకోడ్ చేస్తున్నప్పుడు గుర్తించిన వైవిధ్య ఈవెంట్‌లను నిల్వ చేసే EVE లాగ్‌కు కొత్త “అనామలీ” ఎంట్రీ రకానికి మద్దతు జోడించబడింది. EVE VLANలు మరియు ట్రాఫిక్ క్యాప్చర్ ఇంటర్‌ఫేస్‌ల గురించిన సమాచార ప్రదర్శనను కూడా విస్తరించింది. EVE http లాగ్ ఎంట్రీలలో అన్ని HTTP హెడర్‌లను సేవ్ చేయడానికి ఎంపిక జోడించబడింది;
• eBPF-ఆధారిత హ్యాండ్లర్లు ప్యాకెట్ క్యాప్చర్‌ను వేగవంతం చేయడానికి హార్డ్‌వేర్ మెకానిజమ్‌లకు మద్దతునిస్తాయి. హార్డ్‌వేర్ త్వరణం ప్రస్తుతం నెట్‌రోనోమ్ నెట్‌వర్క్ అడాప్టర్‌లకు పరిమితం చేయబడింది, అయితే త్వరలో ఇతర పరికరాలకు అందుబాటులోకి వస్తుంది;
• నెట్‌మ్యాప్ ఫ్రేమ్‌వర్క్‌ని ఉపయోగించి ట్రాఫిక్‌ని సంగ్రహించే కోడ్ మళ్లీ వ్రాయబడింది. వర్చువల్ స్విచ్ వంటి అధునాతన నెట్‌మ్యాప్ ఫీచర్‌లను ఉపయోగించగల సామర్థ్యం జోడించబడింది VALE;
• చేర్చబడింది స్టిక్కీ బఫర్‌ల కోసం కొత్త కీవర్డ్ డెఫినిషన్ స్కీమ్‌కు మద్దతు. కొత్త పథకం “protocol.buffer” ఆకృతిలో నిర్వచించబడింది, ఉదాహరణకు, URIని తనిఖీ చేయడానికి, కీవర్డ్ “http_uri”కి బదులుగా “http.uri” రూపాన్ని తీసుకుంటుంది;
• ఉపయోగించిన మొత్తం పైథాన్ కోడ్ అనుకూలత కోసం పరీక్షించబడింది
  పైథాన్ 3;

• Tilera ఆర్కిటెక్చర్, టెక్స్ట్ లాగ్ dns.log మరియు పాత లాగ్ ఫైల్స్-json.logకి మద్దతు నిలిపివేయబడింది.

Suricata యొక్క లక్షణాలు:

• స్కాన్ ఫలితాలను ప్రదర్శించడానికి ఏకీకృత ఆకృతిని ఉపయోగించడం ఏకీకృత 2, Snort ప్రాజెక్ట్ ద్వారా కూడా ఉపయోగించబడుతుంది, ఇది ప్రామాణిక విశ్లేషణ సాధనాల వినియోగాన్ని అనుమతిస్తుంది బార్న్యార్డ్2. BASE, Snorby, Sguil మరియు SQueRT ఉత్పత్తులతో ఏకీకరణ అవకాశం. PCAP అవుట్పుట్ మద్దతు;
• ప్రోటోకాల్‌లను (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, మొదలైనవి) స్వయంచాలకంగా గుర్తించడానికి మద్దతు, పోర్ట్ నంబర్‌ను సూచించకుండా, ప్రోటోకాల్ రకం ద్వారా మాత్రమే నియమాలను అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది (ఉదాహరణకు, HTTPని నిరోధించండి ప్రామాణికం కాని పోర్ట్‌లో ట్రాఫిక్) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP మరియు SSH ప్రోటోకాల్‌ల కోసం డీకోడర్‌ల లభ్యత;
• HTTP ట్రాఫిక్‌ను అన్వయించడానికి మరియు సాధారణీకరించడానికి Mod_Security ప్రాజెక్ట్ రచయిత సృష్టించిన ప్రత్యేక HTP లైబ్రరీని ఉపయోగించే శక్తివంతమైన HTTP ట్రాఫిక్ విశ్లేషణ వ్యవస్థ. రవాణా HTTP బదిలీల యొక్క వివరణాత్మక లాగ్‌ను నిర్వహించడానికి మాడ్యూల్ అందుబాటులో ఉంది; లాగ్ ప్రామాణిక ఆకృతిలో సేవ్ చేయబడుతుంది
  అపాచీ HTTP ద్వారా ప్రసారం చేయబడిన ఫైల్‌లను తిరిగి పొందడం మరియు తనిఖీ చేయడం సపోర్ట్ చేస్తుంది. కంప్రెస్డ్ కంటెంట్‌ని అన్వయించడానికి మద్దతు. URI, కుకీ, హెడర్‌లు, యూజర్ ఏజెంట్, రిక్వెస్ట్/రెస్పాన్స్ బాడీ ద్వారా గుర్తించగల సామర్థ్యం;

• NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RINGతో సహా ట్రాఫిక్ అంతరాయానికి వివిధ ఇంటర్‌ఫేస్‌లకు మద్దతు. PCAP ఆకృతిలో ఇప్పటికే సేవ్ చేయబడిన ఫైల్‌లను విశ్లేషించడం సాధ్యమవుతుంది;
• అధిక పనితీరు, సంప్రదాయ పరికరాలపై 10 గిగాబిట్‌లు/సెకను వరకు ప్రవహించే సామర్థ్యం.
• IP చిరునామాల యొక్క పెద్ద సెట్ల కోసం అధిక-పనితీరు గల మాస్క్ మ్యాచింగ్ మెకానిజం. మాస్క్ మరియు సాధారణ వ్యక్తీకరణల ద్వారా కంటెంట్‌ని ఎంచుకోవడానికి మద్దతు. పేరు, రకం లేదా MD5 చెక్‌సమ్ ద్వారా వాటి గుర్తింపుతో సహా ట్రాఫిక్ నుండి ఫైల్‌లను వేరుచేయడం.
• నియమాలలో వేరియబుల్స్ ఉపయోగించగల సామర్థ్యం: మీరు స్ట్రీమ్ నుండి సమాచారాన్ని సేవ్ చేయవచ్చు మరియు తర్వాత ఇతర నియమాలలో ఉపయోగించవచ్చు;
• కాన్ఫిగరేషన్ ఫైల్‌లలో YAML ఆకృతిని ఉపయోగించడం, ఇది మెషిన్ ప్రాసెస్‌లో సులభంగా ఉన్నప్పుడు స్పష్టతను నిర్వహించడానికి మిమ్మల్ని అనుమతిస్తుంది;
• పూర్తి IPv6 మద్దతు;
• ఆటోమేటిక్ డిఫ్రాగ్మెంటేషన్ మరియు ప్యాకెట్‌ల రీఅసెంబ్లీ కోసం అంతర్నిర్మిత ఇంజిన్, ప్యాకెట్‌లు వచ్చిన క్రమంలో సంబంధం లేకుండా స్ట్రీమ్‌ల సరైన ప్రాసెసింగ్‌ను అనుమతిస్తుంది;
• టన్నెలింగ్ ప్రోటోకాల్‌లకు మద్దతు: టెరెడో, IP-IP, IP6-IP4, IP4-IP6, GRE;
• ప్యాకెట్ డీకోడింగ్ మద్దతు: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, ఈథర్నెట్, PPP, PPPoE, రా, SLL, VLAN;
• TLS/SSL కనెక్షన్‌లలో కనిపించే లాగింగ్ కీలు మరియు సర్టిఫికెట్‌ల మోడ్;
• అధునాతన విశ్లేషణను అందించడానికి మరియు ప్రామాణిక నియమాలు సరిపోని ట్రాఫిక్ రకాలను గుర్తించడానికి అవసరమైన అదనపు సామర్థ్యాలను అమలు చేయడానికి Luaలో స్క్రిప్ట్‌లను వ్రాయగల సామర్థ్యం.

మూలం: opennet.ru