Ташкилоти OISF (Бунёди амнияти иттилоотии кушод) озод кардани системаи ошкор ва пешгирии ҳамлаи шабака , ки барои азназаргузаронии намудхои гуногуни харакат воситахо таъмин мекунад. Дар конфигуратсияҳои Suricata истифода бурдан мумкин аст , ки аз ҷониби лоиҳаи Snort таҳия шудааст, инчунин маҷмӯи қоидаҳо и . Сарчашмаҳои лоиҳа тибқи GPLv2 литсензия шудааст.
Тағйироти асосӣ:
- Модулҳои нав барои таҳлил ва сабти протоколҳо ҷорӣ карда шуданд
RDP, SNMP ва SIP дар Rust навишта шудааст. Имконияти сабти ном тавассути зерсистемаи EVE ба модули таҳлили FTP илова карда шудааст, ки натиҷаи ҳодисаро дар формати JSON таъмин мекунад; - Илова ба дастгирии усули мушаххаси муштарии JA3 TLS, ки дар версияи охирин пайдо шудааст, дастгирии усул , Дар асоси хусусиятҳои гуфтушуниди пайвастшавӣ ва параметрҳои муайяншуда муайян кунед, ки кадом нармафзор барои барқарор кардани пайвастшавӣ истифода мешавад (масалан, он ба шумо имкон медиҳад, ки истифодаи Tor ва дигар замимаҳои стандартиро муайян кунед). JA3 ба шумо имкон медиҳад, ки мизоҷонро муайян кунед ва JA3S ба шумо имкон медиҳад серверҳоро муайян кунед. Натиҷаҳои муайянкунӣ метавонанд дар забони муқарраркунии қоидаҳо ва дар гузоришҳо истифода шаванд;
- Қобилияти таҷрибавӣ барои мувофиқ кардани намунаҳо аз маҷмӯи додаҳои калон, ки бо истифода аз амалиёти нав амалӣ карда шудааст, илова карда шудааст . Масалан, ин хусусият барои ҷустуҷӯи ниқобҳо дар рӯйхатҳои сиёҳи калон, ки дорои миллионҳо сабтҳо мебошанд, татбиқ мешавад;
- Ҳолати санҷиши HTTP фарогирии пурраи ҳама ҳолатҳои дар пакети санҷишӣ тавсифшударо таъмин мекунад (масалан, усулҳоеро фаро мегирад, ки барои пинҳон кардани фаъолияти бадқасдона дар трафик истифода мешаванд);
- Асбобҳо барои таҳияи модулҳо бо забони Rust аз вариантҳо ба қобилиятҳои стандартии ҳатмӣ гузаронида шуданд. Дар оянда васеъ намудани истифодаи Rust дар базаи коди лоиҳа ва тадриҷан иваз кардани модулҳо бо аналогҳои дар Rust таҳияшуда ба нақша гирифта шудааст;
- Муҳаррики таърифи протокол барои беҳтар кардани дақиқӣ ва коркарди ҷараёни трафики асинхронӣ такмил дода шуд;
- Дастгирии навъи нави вуруди "аномалия" ба сабти EVE илова карда шуд, ки дар он рӯйдодҳои ғайриоддӣ ҳангоми рамзкушоӣ кардани пакетҳо ошкор карда мешаванд. EVE инчунин намоиши маълумотро дар бораи VLANҳо ва интерфейсҳои сабти трафикро васеъ кардааст. Имконият барои захира кардани ҳама сарлавҳаҳои HTTP дар вурудоти EVE http;
- Корфармоҳои eBPF дар асоси механизмҳои сахтафзорро барои суръат бахшидан ба забти бастаҳо дастгирӣ мекунанд. Шитоби сахтафзор айни замон бо адаптерҳои шабакавии Netronome маҳдуд аст, аммо ба зудӣ барои таҷҳизоти дигар дастрас хоҳад шуд;
- Рамзи сабти трафик бо истифода аз чаҳорчӯбаи Nemap аз нав навишта шудааст. Илова қобилияти истифодаи хусусиятҳои пешрафтаи Nemap ба монанди гузариши виртуалӣ ;
- дастгирии нақшаи нави таърифи калимаи калидӣ барои буферҳои часпанда. Схемаи нав дар формати "protocol.buffer" муайян карда шудааст, масалан, барои тафтиши URI, калимаи калидӣ ба ҷои "http_uri" шакли "http.uri"-ро мегирад;
- Ҳама рамзи Python истифодашуда барои мутобиқат бо
Python3; - Дастгирии меъмории Tilera, сабти матнии dns.log ва файлҳои кӯҳнаи log-json.log қатъ карда шуд.
Хусусиятҳои Suricata:
- Истифодаи формати ягона барои намоиш додани натиҷаҳои скан , инчунин аз ҷониби лоиҳаи Snort истифода мешавад, ки имкон медиҳад, ки воситаҳои таҳлили стандартиро ба монанди . Имконияти ҳамгироӣ бо маҳсулоти BASE, Snorby, Sguil ва SQueRT. Дастгирии баромади PCAP;
- Дастгирии муайянкунии автоматии протоколҳо (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB ва ғайра), ки ба шумо имкон медиҳад, ки дар қоидаҳо танҳо аз рӯи намуди протокол бидуни истинод ба рақами порт амал кунед (масалан, блоки HTTP HTTP). ҳаракат дар бандари ғайристандартӣ). Мавҷудияти декодерҳо барои протоколҳои HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ва SSH;
- Системаи пурқуввати таҳлили трафики HTTP, ки китобхонаи махсуси HTP-ро истифода мебарад, ки аз ҷониби муаллифи лоиҳаи Mod_Security барои таҳлил ва ба эътидол овардани трафики HTTP сохта шудааст. Модул барои нигоҳ доштани сабти муфассали интиқоли транзити HTTP дастрас аст; гузориш дар формати стандартӣ захира карда мешавад
Апачи. Ҷустуҷӯ ва тафтиши файлҳои тавассути HTTP интиқолшаванда дастгирӣ карда мешавад. Дастгирии таҳлили мундариҷаи фишурдашуда. Қобилияти муайян кардани URI, Cookie, сарлавҳаҳо, корбар-агент, мақоми дархост/ҷавоб; - Дастгирии интерфейсҳои гуногун барои боздоштани трафик, аз ҷумла NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Файлҳои аллакай захирашударо дар формати PCAP таҳлил кардан мумкин аст;
- Иҷрои баланд, қобилияти коркарди ҷараёни то 10 гигабит / сония дар таҷҳизоти анъанавӣ.
- Механизми мувофиқати ниқоби баландсифат барои маҷмӯи зиёди суроғаҳои IP. Дастгирии интихоби мундариҷа аз рӯи ниқоб ва ифодаҳои муқаррарӣ. Ҷудо кардани файлҳо аз трафик, аз ҷумла муайян кардани онҳо аз рӯи ном, намуд ё маблағи санҷиши MD5.
- Имконияти истифодаи тағирёбандаҳо дар қоидаҳо: шумо метавонед маълумотро аз ҷараён захира кунед ва баъдтар онро дар қоидаҳои дигар истифода баред;
- Истифодаи формати YAML дар файлҳои конфигуратсия, ки ба шумо имкон медиҳад возеҳиятро нигоҳ доред, дар ҳоле ки коркарди мошин осон аст;
- Дастгирии пурраи IPv6;
- Муҳаррики дарунсохт барои дефрагментация ва аз нав васлкунии пакетҳо, ки имкон медиҳад коркарди дурусти ҷараёнҳо, новобаста аз тартиби расидани бастаҳо;
- Дастгирии протоколҳои нақбсозӣ: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Дастгирии рамзкушоии бастаҳо: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Ҳолати сабти калидҳо ва сертификатҳое, ки дар пайвастҳои TLS/SSL пайдо мешаванд;
- Қобилияти навиштани скриптҳо дар Луа барои пешниҳоди таҳлили пешрафта ва татбиқи қобилиятҳои иловагӣ барои муайян кардани намудҳои трафик, ки қоидаҳои стандартӣ барои онҳо кофӣ нестанд.
Манбаъ: opennet.ru