ProHoster > Blog > ахбори интернет > Нашри Suricata 6.0 системаи ошкоркунии ҳамла

Нашри Suricata 6.0 системаи ошкоркунии ҳамла

Пас аз як соли рушд, созмони OISF (Бунёди амнияти иттилоотии кушод). нашр шудааст озод кардани системаи ошкор ва пешгирии ҳамлаи шабака Meerkat 6.0, ки барои азназаргузаронии намудхои гуногуни харакат воситахо таъмин мекунад. Дар конфигуратсияҳои Suricata истифода бурдан мумкин аст пойгоҳи додаҳои имзо, ки аз ҷониби лоиҳаи Snort таҳия шудааст, инчунин маҷмӯи қоидаҳо Таҳдидҳои пайдошаванда и Emerging Threats Pro. Сарчашмаҳои лоиҳа паҳн шудан тибқи GPLv2 литсензия шудааст.

Тағйироти асосӣ:

  • Дастгирии ибтидоӣ барои HTTP/2.
  • Дастгирии протоколҳои RFB ва MQTT, аз ҷумла қобилияти муайян кардани протокол ва нигоҳ доштани сабт.
  • Имконияти сабти протоколи DCERPC.
  • Такмили назаррас дар кори сабткунӣ тавассути зерсистемаи EVE, ки баромади рӯйдодҳоро дар формати JSON таъмин мекунад. Шитоб ба шарофати истифодаи як созандаи нави JSON, ки бо забони Rust навишта шудааст, ба даст омад.
  • Миқёспазирии системаи сабти EVE зиёд карда шуд ва қобилияти нигоҳ доштани файли сабти алоҳида барои ҳар як ришта амалӣ карда шуд.
  • Қобилияти муайян кардани шартҳо барои аз нав танзимкунии маълумот ба сабт.
  • Имконияти инъикоси суроғаҳои MAC дар сабти EVE ва зиёд кардани тафсилоти сабти DNS.
  • Беҳтар кардани кори муҳаррики ҷараён.
  • Дастгирии муайянкунии татбиқи SSH (ХАСШ).
  • Татбиқи декодери нақби GENEVE.
  • Рамзи коркард бо забони руст аз нав навишта шудааст ASN.1, DCERPC ва SSH. Rust инчунин протоколҳои навро дастгирӣ мекунад.
  • Дар забони таърифи қоида, дастгирии параметри from_end ба калимаи калидии byte_jump ва дастгирии параметри bitmask ба byte_test илова карда шудааст. Калимаи калидии pcrexform амалӣ карда шуд, то ки ифодаҳои муқаррарӣ (pcre) барои гирифтани зерсатри истифода шаванд. Табдилдиҳии urldecode иловашуда. Калимаи калидии byte_math илова карда шуд.
  • Қобилияти истифодаи cbindgen барои тавлиди пайвандҳо бо забонҳои Rust ва C -ро фароҳам меорад.
  • Дастгирии плагинҳои ибтидоӣ илова карда шуд.

Хусусиятҳои Suricata:

  • Истифодаи формати ягона барои намоиш додани натиҷаҳои скан Муттаҳид 2, инчунин аз ҷониби лоиҳаи Snort истифода мешавад, ки имкон медиҳад, ки воситаҳои таҳлили стандартиро ба монанди анбор 2. Имконияти ҳамгироӣ бо маҳсулоти BASE, Snorby, Sguil ва SQueRT. Дастгирии баромади PCAP;
  • Дастгирии муайянкунии автоматии протоколҳо (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB ва ғайра), ки ба шумо имкон медиҳад, ки дар қоидаҳо танҳо аз рӯи намуди протокол бидуни истинод ба рақами порт амал кунед (масалан, блоки HTTP HTTP). ҳаракат дар бандари ғайристандартӣ). Мавҷудияти декодерҳо барои протоколҳои HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ва SSH;
  • Системаи пурқуввати таҳлили трафики HTTP, ки китобхонаи махсуси HTP-ро истифода мебарад, ки аз ҷониби муаллифи лоиҳаи Mod_Security барои таҳлил ва ба эътидол овардани трафики HTTP сохта шудааст. Модул барои нигоҳ доштани сабти муфассали интиқоли транзити HTTP дастрас аст; гузориш дар формати стандартӣ захира карда мешавад
    Апачи. Ҷустуҷӯ ва тафтиши файлҳои тавассути HTTP интиқолшаванда дастгирӣ карда мешавад. Дастгирии таҳлили мундариҷаи фишурдашуда. Қобилияти муайян кардани URI, Cookie, сарлавҳаҳо, корбар-агент, мақоми дархост/ҷавоб;

  • Дастгирии интерфейсҳои гуногун барои боздоштани трафик, аз ҷумла NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Файлҳои аллакай захирашударо дар формати PCAP таҳлил кардан мумкин аст;
  • Иҷрои баланд, қобилияти коркарди ҷараёни то 10 гигабит / сония дар таҷҳизоти анъанавӣ.
  • Механизми мувофиқати ниқоби баландсифат барои маҷмӯи зиёди суроғаҳои IP. Дастгирии интихоби мундариҷа аз рӯи ниқоб ва ифодаҳои муқаррарӣ. Ҷудо кардани файлҳо аз трафик, аз ҷумла муайян кардани онҳо аз рӯи ном, намуд ё маблағи санҷиши MD5.
  • Имконияти истифодаи тағирёбандаҳо дар қоидаҳо: шумо метавонед маълумотро аз ҷараён захира кунед ва баъдтар онро дар қоидаҳои дигар истифода баред;
  • Истифодаи формати YAML дар файлҳои конфигуратсия, ки ба шумо имкон медиҳад возеҳиятро нигоҳ доред, дар ҳоле ки коркарди мошин осон аст;
  • Дастгирии пурраи IPv6;
  • Муҳаррики дарунсохт барои дефрагментация ва аз нав васлкунии пакетҳо, ки имкон медиҳад коркарди дурусти ҷараёнҳо, новобаста аз тартиби расидани бастаҳо;
  • Дастгирии протоколҳои нақбсозӣ: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Дастгирии рамзкушоии бастаҳо: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Ҳолати сабти калидҳо ва сертификатҳое, ки дар пайвастҳои TLS/SSL пайдо мешаванд;
  • Қобилияти навиштани скриптҳо дар Луа барои пешниҳоди таҳлили пешрафта ва татбиқи қобилиятҳои иловагӣ барои муайян кардани намудҳои трафик, ки қоидаҳои стандартӣ барои онҳо кофӣ нестанд.

Манбаъ: opennet.ru

Илова Эзоҳ