Suricata 5.0 అటాక్ డిటెక్షన్ సిస్టమ్ అందుబాటులో ఉంది
ఆర్గనైజేషన్ OISF (ఓపెన్ ఇన్ఫర్మేషన్ సెక్యూరిటీ ఫౌండేషన్) ప్రచురించిన నెట్వర్క్ చొరబాటు గుర్తింపు మరియు నివారణ వ్యవస్థ విడుదల మీర్కట్ 5.0, ఇది వివిధ రకాల ట్రాఫిక్ను తనిఖీ చేయడానికి సాధనాలను అందిస్తుంది. Suricata కాన్ఫిగరేషన్లలో దీనిని ఉపయోగించడం సాధ్యమవుతుంది సంతకం డేటాబేస్, Snort ప్రాజెక్ట్ ద్వారా అభివృద్ధి చేయబడింది, అలాగే నియమాల సెట్లు ఉద్భవిస్తున్న బెదిరింపులు и ఉద్భవిస్తున్న బెదిరింపులు ప్రో. ప్రాజెక్ట్ మూలాలు వ్యాప్తి GPLv2 కింద లైసెన్స్ పొందింది.
ప్రధాన మార్పులు:
పార్సింగ్ మరియు లాగింగ్ ప్రోటోకాల్ల కోసం కొత్త మాడ్యూల్స్ ప్రవేశపెట్టబడ్డాయి
RDP, SNMP మరియు SIP రస్ట్లో వ్రాయబడ్డాయి. EVE సబ్సిస్టమ్ ద్వారా లాగ్ చేసే సామర్థ్యం FTP పార్సింగ్ మాడ్యూల్కు జోడించబడింది, JSON ఆకృతిలో ఈవెంట్ అవుట్పుట్ను అందిస్తుంది;
చివరి విడుదలలో కనిపించిన JA3 TLS క్లయింట్ గుర్తింపు పద్ధతికి మద్దతుతో పాటు, పద్ధతికి మద్దతు JA3S, అనుమతించడం కనెక్షన్ నెగోషియేషన్ యొక్క లక్షణాలు మరియు పేర్కొన్న పారామితుల ఆధారంగా, కనెక్షన్ని స్థాపించడానికి ఏ సాఫ్ట్వేర్ ఉపయోగించబడుతుందో నిర్ణయించండి (ఉదాహరణకు, ఇది టోర్ మరియు ఇతర ప్రామాణిక అప్లికేషన్ల వినియోగాన్ని నిర్ణయించడానికి మిమ్మల్ని అనుమతిస్తుంది). JA3 క్లయింట్లను నిర్వచించడానికి మిమ్మల్ని అనుమతిస్తుంది మరియు JA3S సర్వర్లను నిర్వచించడానికి మిమ్మల్ని అనుమతిస్తుంది. నిర్ణయం యొక్క ఫలితాలు రూల్ సెట్టింగ్ భాషలో మరియు లాగ్లలో ఉపయోగించవచ్చు;
కొత్త కార్యకలాపాలను ఉపయోగించి అమలు చేయబడిన పెద్ద డేటా సెట్ల నుండి నమూనాలను సరిపోల్చడానికి ప్రయోగాత్మక సామర్థ్యం జోడించబడింది డేటాసెట్ మరియు డేటారెప్. ఉదాహరణకు, మిలియన్ల కొద్దీ ఎంట్రీలను కలిగి ఉన్న పెద్ద బ్లాక్లిస్ట్లలో మాస్క్ల కోసం వెతకడానికి ఈ ఫీచర్ వర్తిస్తుంది;
HTTP తనిఖీ మోడ్ టెస్ట్ సూట్లో వివరించిన అన్ని పరిస్థితుల పూర్తి కవరేజీని అందిస్తుంది HTTP ఎవాడర్ (ఉదా, ట్రాఫిక్లో హానికరమైన కార్యాచరణను దాచడానికి ఉపయోగించే సాంకేతికతలను కవర్ చేస్తుంది);
రస్ట్ భాషలో మాడ్యూల్లను అభివృద్ధి చేయడానికి సాధనాలు ఎంపికల నుండి తప్పనిసరి ప్రామాణిక సామర్థ్యాలకు బదిలీ చేయబడ్డాయి. భవిష్యత్తులో, ప్రాజెక్ట్ కోడ్ బేస్లో రస్ట్ యొక్క వినియోగాన్ని విస్తరించేందుకు మరియు రస్ట్లో అభివృద్ధి చేసిన అనలాగ్లతో క్రమంగా మాడ్యూల్స్ను భర్తీ చేయడానికి ప్రణాళిక చేయబడింది;
ప్రోటోకాల్ డెఫినిషన్ ఇంజిన్ ఖచ్చితత్వాన్ని మెరుగుపరచడానికి మరియు అసమకాలిక ట్రాఫిక్ ప్రవాహాలను నిర్వహించడానికి మెరుగుపరచబడింది;
ప్యాకెట్లను డీకోడ్ చేస్తున్నప్పుడు గుర్తించిన వైవిధ్య ఈవెంట్లను నిల్వ చేసే EVE లాగ్కు కొత్త “అనామలీ” ఎంట్రీ రకానికి మద్దతు జోడించబడింది. EVE VLANలు మరియు ట్రాఫిక్ క్యాప్చర్ ఇంటర్ఫేస్ల గురించిన సమాచార ప్రదర్శనను కూడా విస్తరించింది. EVE http లాగ్ ఎంట్రీలలో అన్ని HTTP హెడర్లను సేవ్ చేయడానికి ఎంపిక జోడించబడింది;
eBPF-ఆధారిత హ్యాండ్లర్లు ప్యాకెట్ క్యాప్చర్ను వేగవంతం చేయడానికి హార్డ్వేర్ మెకానిజమ్లకు మద్దతునిస్తాయి. హార్డ్వేర్ త్వరణం ప్రస్తుతం నెట్రోనోమ్ నెట్వర్క్ అడాప్టర్లకు పరిమితం చేయబడింది, అయితే త్వరలో ఇతర పరికరాలకు అందుబాటులోకి వస్తుంది;
నెట్మ్యాప్ ఫ్రేమ్వర్క్ని ఉపయోగించి ట్రాఫిక్ని సంగ్రహించే కోడ్ మళ్లీ వ్రాయబడింది. వర్చువల్ స్విచ్ వంటి అధునాతన నెట్మ్యాప్ ఫీచర్లను ఉపయోగించగల సామర్థ్యం జోడించబడింది VALE;
చేర్చబడింది స్టిక్కీ బఫర్ల కోసం కొత్త కీవర్డ్ డెఫినిషన్ స్కీమ్కు మద్దతు. కొత్త పథకం “protocol.buffer” ఆకృతిలో నిర్వచించబడింది, ఉదాహరణకు, URIని తనిఖీ చేయడానికి, కీవర్డ్ “http_uri”కి బదులుగా “http.uri” రూపాన్ని తీసుకుంటుంది;
ఉపయోగించిన మొత్తం పైథాన్ కోడ్ అనుకూలత కోసం పరీక్షించబడింది
పైథాన్ 3;
Tilera ఆర్కిటెక్చర్, టెక్స్ట్ లాగ్ dns.log మరియు పాత లాగ్ ఫైల్స్-json.logకి మద్దతు నిలిపివేయబడింది.
Suricata యొక్క లక్షణాలు:
స్కాన్ ఫలితాలను ప్రదర్శించడానికి ఏకీకృత ఆకృతిని ఉపయోగించడం ఏకీకృత 2, Snort ప్రాజెక్ట్ ద్వారా కూడా ఉపయోగించబడుతుంది, ఇది ప్రామాణిక విశ్లేషణ సాధనాల వినియోగాన్ని అనుమతిస్తుంది బార్న్యార్డ్2. BASE, Snorby, Sguil మరియు SQueRT ఉత్పత్తులతో ఏకీకరణ అవకాశం. PCAP అవుట్పుట్ మద్దతు;
ప్రోటోకాల్లను (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, మొదలైనవి) స్వయంచాలకంగా గుర్తించడానికి మద్దతు, పోర్ట్ నంబర్ను సూచించకుండా, ప్రోటోకాల్ రకం ద్వారా మాత్రమే నియమాలను అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది (ఉదాహరణకు, HTTPని నిరోధించండి ప్రామాణికం కాని పోర్ట్లో ట్రాఫిక్) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP మరియు SSH ప్రోటోకాల్ల కోసం డీకోడర్ల లభ్యత;
HTTP ట్రాఫిక్ను అన్వయించడానికి మరియు సాధారణీకరించడానికి Mod_Security ప్రాజెక్ట్ రచయిత సృష్టించిన ప్రత్యేక HTP లైబ్రరీని ఉపయోగించే శక్తివంతమైన HTTP ట్రాఫిక్ విశ్లేషణ వ్యవస్థ. రవాణా HTTP బదిలీల యొక్క వివరణాత్మక లాగ్ను నిర్వహించడానికి మాడ్యూల్ అందుబాటులో ఉంది; లాగ్ ప్రామాణిక ఆకృతిలో సేవ్ చేయబడుతుంది
అపాచీ HTTP ద్వారా ప్రసారం చేయబడిన ఫైల్లను తిరిగి పొందడం మరియు తనిఖీ చేయడం సపోర్ట్ చేస్తుంది. కంప్రెస్డ్ కంటెంట్ని అన్వయించడానికి మద్దతు. URI, కుకీ, హెడర్లు, యూజర్ ఏజెంట్, రిక్వెస్ట్/రెస్పాన్స్ బాడీ ద్వారా గుర్తించగల సామర్థ్యం;
NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RINGతో సహా ట్రాఫిక్ అంతరాయానికి వివిధ ఇంటర్ఫేస్లకు మద్దతు. PCAP ఆకృతిలో ఇప్పటికే సేవ్ చేయబడిన ఫైల్లను విశ్లేషించడం సాధ్యమవుతుంది;
అధిక పనితీరు, సంప్రదాయ పరికరాలపై 10 గిగాబిట్లు/సెకను వరకు ప్రవహించే సామర్థ్యం.
IP చిరునామాల యొక్క పెద్ద సెట్ల కోసం అధిక-పనితీరు గల మాస్క్ మ్యాచింగ్ మెకానిజం. మాస్క్ మరియు సాధారణ వ్యక్తీకరణల ద్వారా కంటెంట్ని ఎంచుకోవడానికి మద్దతు. పేరు, రకం లేదా MD5 చెక్సమ్ ద్వారా వాటి గుర్తింపుతో సహా ట్రాఫిక్ నుండి ఫైల్లను వేరుచేయడం.
నియమాలలో వేరియబుల్స్ ఉపయోగించగల సామర్థ్యం: మీరు స్ట్రీమ్ నుండి సమాచారాన్ని సేవ్ చేయవచ్చు మరియు తర్వాత ఇతర నియమాలలో ఉపయోగించవచ్చు;
కాన్ఫిగరేషన్ ఫైల్లలో YAML ఆకృతిని ఉపయోగించడం, ఇది మెషిన్ ప్రాసెస్లో సులభంగా ఉన్నప్పుడు స్పష్టతను నిర్వహించడానికి మిమ్మల్ని అనుమతిస్తుంది;
పూర్తి IPv6 మద్దతు;
ఆటోమేటిక్ డిఫ్రాగ్మెంటేషన్ మరియు ప్యాకెట్ల రీఅసెంబ్లీ కోసం అంతర్నిర్మిత ఇంజిన్, ప్యాకెట్లు వచ్చిన క్రమంలో సంబంధం లేకుండా స్ట్రీమ్ల సరైన ప్రాసెసింగ్ను అనుమతిస్తుంది;
TLS/SSL కనెక్షన్లలో కనిపించే లాగింగ్ కీలు మరియు సర్టిఫికెట్ల మోడ్;
అధునాతన విశ్లేషణను అందించడానికి మరియు ప్రామాణిక నియమాలు సరిపోని ట్రాఫిక్ రకాలను గుర్తించడానికి అవసరమైన అదనపు సామర్థ్యాలను అమలు చేయడానికి Luaలో స్క్రిప్ట్లను వ్రాయగల సామర్థ్యం.