ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > Suricata 6.0 చొరబాటు గుర్తింపు వ్యవస్థ విడుదల

Suricata 6.0 చొరబాటు గుర్తింపు వ్యవస్థ విడుదల

ఒక సంవత్సరం అభివృద్ధి తర్వాత, OISF (ఓపెన్ ఇన్ఫర్మేషన్ సెక్యూరిటీ ఫౌండేషన్) సంస్థ ప్రచురించిన నెట్‌వర్క్ చొరబాటు గుర్తింపు మరియు నివారణ వ్యవస్థ విడుదల మీర్కట్ 6.0, ఇది వివిధ రకాల ట్రాఫిక్‌ను తనిఖీ చేయడానికి సాధనాలను అందిస్తుంది. Suricata కాన్ఫిగరేషన్‌లలో దీనిని ఉపయోగించడం సాధ్యమవుతుంది సంతకం డేటాబేస్, Snort ప్రాజెక్ట్ ద్వారా అభివృద్ధి చేయబడింది, అలాగే నియమాల సెట్లు ఉద్భవిస్తున్న బెదిరింపులు и ఉద్భవిస్తున్న బెదిరింపులు ప్రో. ప్రాజెక్ట్ మూలాలు వ్యాప్తి GPLv2 కింద లైసెన్స్ పొందింది.

ప్రధాన మార్పులు:

  • HTTP/2 కోసం ప్రారంభ మద్దతు.
  • RFB మరియు MQTT ప్రోటోకాల్‌లకు మద్దతు, ప్రోటోకాల్‌ను నిర్వచించే సామర్థ్యం మరియు లాగ్‌ను నిర్వహించడం.
  • DCERPC ప్రోటోకాల్ కోసం లాగింగ్ అవకాశం.
  • JSON ఫార్మాట్‌లో ఈవెంట్ అవుట్‌పుట్‌ను అందించే EVE సబ్‌సిస్టమ్ ద్వారా లాగింగ్ పనితీరులో గణనీయమైన మెరుగుదల. రస్ట్ భాషలో వ్రాయబడిన కొత్త JSON స్టాక్ బిల్డర్‌ని ఉపయోగించడం వల్ల త్వరణం సాధించబడింది.
  • EVE లాగ్ సిస్టమ్ యొక్క స్కేలబిలిటీ పెంచబడింది మరియు ప్రతి థ్రెడ్ కోసం ప్రత్యేక లాగ్ ఫైల్‌ను నిర్వహించగల సామర్థ్యం అమలు చేయబడింది.
  • లాగ్‌కు సమాచారాన్ని రీసెట్ చేయడానికి షరతులను నిర్వచించే సామర్థ్యం.
  • EVE లాగ్‌లో MAC చిరునామాలను ప్రతిబింబించే సామర్థ్యం మరియు DNS లాగ్ వివరాలను పెంచడం.
  • ఫ్లో ఇంజిన్ పనితీరును మెరుగుపరచడం.
  • SSH అమలులను గుర్తించడానికి మద్దతు (హాస్ష్).
  • GENEVE టన్నెల్ డీకోడర్ యొక్క అమలు.
  • ప్రాసెసింగ్ కోసం కోడ్ రస్ట్ భాషలో తిరిగి వ్రాయబడింది ASN.1, DCERPC మరియు SSH. రస్ట్ కొత్త ప్రోటోకాల్‌లకు కూడా మద్దతు ఇస్తుంది.
  • రూల్ డెఫినిషన్ లాంగ్వేజ్‌లో, byte_jump కీవర్డ్‌కు from_end పారామీటర్‌కు మద్దతు జోడించబడింది మరియు byte_testకు బిట్‌మాస్క్ పారామీటర్‌కు మద్దతు జోడించబడింది. సబ్‌స్ట్రింగ్‌ను క్యాప్చర్ చేయడానికి సాధారణ వ్యక్తీకరణలను (pcre) ఉపయోగించడానికి pcrexform కీవర్డ్‌ని అమలు చేసింది. urldecode మార్పిడి జోడించబడింది. byte_math కీవర్డ్ జోడించబడింది.
  • రస్ట్ మరియు సి భాషలలో బైండింగ్‌లను రూపొందించడానికి cbindgenని ఉపయోగించగల సామర్థ్యాన్ని అందిస్తుంది.
  • ప్రారంభ ప్లగిన్ మద్దతు జోడించబడింది.

Suricata యొక్క లక్షణాలు:

  • స్కాన్ ఫలితాలను ప్రదర్శించడానికి ఏకీకృత ఆకృతిని ఉపయోగించడం ఏకీకృత 2, Snort ప్రాజెక్ట్ ద్వారా కూడా ఉపయోగించబడుతుంది, ఇది ప్రామాణిక విశ్లేషణ సాధనాల వినియోగాన్ని అనుమతిస్తుంది బార్న్యార్డ్2. BASE, Snorby, Sguil మరియు SQueRT ఉత్పత్తులతో ఏకీకరణ అవకాశం. PCAP అవుట్పుట్ మద్దతు;
  • ప్రోటోకాల్‌లను (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, మొదలైనవి) స్వయంచాలకంగా గుర్తించడానికి మద్దతు, పోర్ట్ నంబర్‌ను సూచించకుండా, ప్రోటోకాల్ రకం ద్వారా మాత్రమే నియమాలను అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది (ఉదాహరణకు, HTTPని నిరోధించండి ప్రామాణికం కాని పోర్ట్‌లో ట్రాఫిక్) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP మరియు SSH ప్రోటోకాల్‌ల కోసం డీకోడర్‌ల లభ్యత;
  • HTTP ట్రాఫిక్‌ను అన్వయించడానికి మరియు సాధారణీకరించడానికి Mod_Security ప్రాజెక్ట్ రచయిత సృష్టించిన ప్రత్యేక HTP లైబ్రరీని ఉపయోగించే శక్తివంతమైన HTTP ట్రాఫిక్ విశ్లేషణ వ్యవస్థ. రవాణా HTTP బదిలీల యొక్క వివరణాత్మక లాగ్‌ను నిర్వహించడానికి మాడ్యూల్ అందుబాటులో ఉంది; లాగ్ ప్రామాణిక ఆకృతిలో సేవ్ చేయబడుతుంది
    అపాచీ HTTP ద్వారా ప్రసారం చేయబడిన ఫైల్‌లను తిరిగి పొందడం మరియు తనిఖీ చేయడం సపోర్ట్ చేస్తుంది. కంప్రెస్డ్ కంటెంట్‌ని అన్వయించడానికి మద్దతు. URI, కుకీ, హెడర్‌లు, యూజర్ ఏజెంట్, రిక్వెస్ట్/రెస్పాన్స్ బాడీ ద్వారా గుర్తించగల సామర్థ్యం;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RINGతో సహా ట్రాఫిక్ అంతరాయానికి వివిధ ఇంటర్‌ఫేస్‌లకు మద్దతు. PCAP ఆకృతిలో ఇప్పటికే సేవ్ చేయబడిన ఫైల్‌లను విశ్లేషించడం సాధ్యమవుతుంది;
  • అధిక పనితీరు, సంప్రదాయ పరికరాలపై 10 గిగాబిట్‌లు/సెకను వరకు ప్రవహించే సామర్థ్యం.
  • IP చిరునామాల యొక్క పెద్ద సెట్ల కోసం అధిక-పనితీరు గల మాస్క్ మ్యాచింగ్ మెకానిజం. మాస్క్ మరియు సాధారణ వ్యక్తీకరణల ద్వారా కంటెంట్‌ని ఎంచుకోవడానికి మద్దతు. పేరు, రకం లేదా MD5 చెక్‌సమ్ ద్వారా వాటి గుర్తింపుతో సహా ట్రాఫిక్ నుండి ఫైల్‌లను వేరుచేయడం.
  • నియమాలలో వేరియబుల్స్ ఉపయోగించగల సామర్థ్యం: మీరు స్ట్రీమ్ నుండి సమాచారాన్ని సేవ్ చేయవచ్చు మరియు తర్వాత ఇతర నియమాలలో ఉపయోగించవచ్చు;
  • కాన్ఫిగరేషన్ ఫైల్‌లలో YAML ఆకృతిని ఉపయోగించడం, ఇది మెషిన్ ప్రాసెస్‌లో సులభంగా ఉన్నప్పుడు స్పష్టతను నిర్వహించడానికి మిమ్మల్ని అనుమతిస్తుంది;
  • పూర్తి IPv6 మద్దతు;
  • ఆటోమేటిక్ డిఫ్రాగ్మెంటేషన్ మరియు ప్యాకెట్‌ల రీఅసెంబ్లీ కోసం అంతర్నిర్మిత ఇంజిన్, ప్యాకెట్‌లు వచ్చిన క్రమంలో సంబంధం లేకుండా స్ట్రీమ్‌ల సరైన ప్రాసెసింగ్‌ను అనుమతిస్తుంది;
  • టన్నెలింగ్ ప్రోటోకాల్‌లకు మద్దతు: టెరెడో, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • ప్యాకెట్ డీకోడింగ్ మద్దతు: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, ఈథర్నెట్, PPP, PPPoE, రా, SLL, VLAN;
  • TLS/SSL కనెక్షన్‌లలో కనిపించే లాగింగ్ కీలు మరియు సర్టిఫికెట్‌ల మోడ్;
  • అధునాతన విశ్లేషణను అందించడానికి మరియు ప్రామాణిక నియమాలు సరిపోని ట్రాఫిక్ రకాలను గుర్తించడానికి అవసరమైన అదనపు సామర్థ్యాలను అమలు చేయడానికి Luaలో స్క్రిప్ట్‌లను వ్రాయగల సామర్థ్యం.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి