Після року розробки організація OISF (Open Information Security Foundation) реліз системи виявлення та запобігання мережевим вторгненням яка надає засоби інспектування різних видів трафіку. У конфігураціях Suricata припустимо задіяння , що розвивається проектом Snort, а також наборів правил и . Вихідні тексти проекту ліцензія GPLv2.
Основні зміни:
- Початкова підтримка HTTP/2.
- Підтримка протоколів RFB та MQTT, включаючи можливість визначення протоколу та ведення лога.
- Можливість ведення логів для протоколу DCERPC.
- Значне підвищення продуктивності ведення лога через підсистему EVE, що забезпечує виведення подій у форматі JSON. Прискорення досягнуто завдяки залученню нового будівельника сток JSON, написаного мовою Rust.
- Підвищено масштабованість системи логів EVE та реалізовано можливість ведення готельного лог-файлу на кожен потік.
- Можливість визначення умов скидання відомостей у балку.
- Можливість відображення MAC-адрес у лозі EVE та підвищення деталізації лога DNS.
- Підвищення продуктивності двигуна обробки потоків (flow engine).
- Підтримка ідентифікації реалізацій SSH ().
- Реалізація декодувальника тунелів GENEVE.
- Мовою Rust переписаний код для обробки , DCERPC та SSH. На Rust також реалізовано підтримку нових протоколів.
- У мові визначення правил у ключовому слові byte_jump додана підтримка параметра from_end, а byte_test — параметра bitmask. Реалізовано ключове слово pcrexform, що дозволяє використовувати регулярні вирази (pcre) для захоплення підрядка. Додано перетворення urldecode. Додано ключове слово byte_math.
- Надання можливість використання cbindgen для генерації прив'язок на мовах Rust та C.
- Додана початкова підтримка плагінів.
Особливості Suricata:
- Використання для виведення результатів перевірки уніфікованого формату , що також використовується проектом Snort, що дозволяє використовувати стандартні інструменти для аналізу, такі як . Можливість інтеграції з продуктами BASE, Snorby, Sguil та SQueRT. Підтримка виводу у форматі PCAP;
- Підтримка автоматичного визначення протоколів (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB тощо), що дозволяє оперувати лише типом протоколу, без прив'язки до номера порту (наприклад, блокувати HTTP трафік на нестандартному порту) . Наявність декодувальників для протоколів HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP та SSH;
- Потужна система аналізу HTTP-трафіку, що використовує для аналізу та нормалізації HTTP-трафіку спеціальну бібліотеку HTP, створену автором проекту Mod_Security. Доступний модуль для ведення докладного лога транзитних HTTP пересилок, лог зберігається у стандартному форматі
Apache. Підтримується вилучення та перевірка файлів, що передаються за протоколом HTTP. Підтримка аналізу стисненого контенту. Можливість ідентифікації за URI, Cookie, заголовками, user-agent, тілом запиту/відповіді; - Підтримка різних інтерфейсів для перехоплення трафіку, включаючи NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Можливий аналіз вже збережених файлів у форматі PCAP;
- Висока продуктивність, здатність обробляти на звичайному устаткуванні потоки до 10 гігабіт/сек.
- Високопродуктивний механізм зіставлення маскою з великими наборами IP адрес. Підтримка виділення контенту за маскою та регулярними виразами. Виділення файлів з трафіку, у тому числі їх ідентифікація на ім'я, тип або контрольну суму MD5.
- Можливість використання змінних у правилах: можна зберегти інформацію з потоку та пізніше використовувати її в інших правилах;
- Використання формату YAML у конфігураційних файлах, що дозволяє зберегти наочність при легкості машинної обробки;
- Повна підтримка IPv6;
- Вбудований двигун для автоматичної дефрагментації та перескладання пакетів, що дозволяє забезпечити коректну обробку потоків, незалежно від порядку надходження пакетів;
- Підтримка протоколів тунелювання: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Підтримка декодування пакетів: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Режим ведення лога ключів та сертифікатів, що фігурують у рамках з'єднань TLS/SSL;
- Можливість написання скриптів мовою Lua для забезпечення розширеного аналізу та реалізації додаткових можливостей, необхідних визначення видів трафіку, котрим замало стандартних правил.
Джерело: opennet.ru