پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > Suricata 5.0 حملے کا پتہ لگانے کا نظام دستیاب ہے۔

Suricata 5.0 حملے کا پتہ لگانے کا نظام دستیاب ہے۔

تنظیم OISF (اوپن انفارمیشن سیکیورٹی فاؤنڈیشن) опубликовала نیٹ ورک کی مداخلت کا پتہ لگانے اور روک تھام کے نظام کی رہائی میرکات 5.0، جو ٹریفک کی مختلف اقسام کا معائنہ کرنے کے لیے ٹولز فراہم کرتا ہے۔ Suricata کنفیگریشنز میں اس کا استعمال ممکن ہے۔ دستخطی ڈیٹا بیس، Snort پروجیکٹ کے ساتھ ساتھ قواعد کے سیٹ کے ذریعہ تیار کیا گیا ہے۔ ابھرتی ہوئی دھمکیاں и ابھرتی ہوئی دھمکیاں پرو. پروجیکٹ کے ذرائع پھیلاؤ GPLv2 کے تحت لائسنس یافتہ۔

اہم تبدیلیاں:

  • تجزیے اور لاگنگ پروٹوکول کے لیے نئے ماڈیولز متعارف کرائے گئے ہیں۔
    RDP، SNMP اور SIP زنگ میں لکھا ہوا ہے۔ EVE سب سسٹم کے ذریعے لاگ ان کرنے کی صلاحیت کو FTP پارسنگ ماڈیول میں شامل کر دیا گیا ہے، جو JSON فارمیٹ میں ایونٹ آؤٹ پٹ فراہم کرتا ہے۔

  • JA3 TLS کلائنٹ کی شناخت کے طریقہ کار کی حمایت کے علاوہ جو کہ آخری ریلیز میں ظاہر ہوا، طریقہ کے لیے سپورٹ JA3S, اجازت دینا کنکشن گفت و شنید کی خصوصیات اور مخصوص پیرامیٹرز کی بنیاد پر، اس بات کا تعین کریں کہ کنکشن قائم کرنے کے لیے کون سا سافٹ ویئر استعمال کیا جاتا ہے (مثال کے طور پر، یہ آپ کو Tor اور دیگر معیاری ایپلی کیشنز کے استعمال کا تعین کرنے کی اجازت دیتا ہے)۔ JA3 آپ کو کلائنٹس کی وضاحت کرنے کی اجازت دیتا ہے، اور JA3S آپ کو سرورز کی وضاحت کرنے کی اجازت دیتا ہے۔ تعین کے نتائج کو اصول کی ترتیب کی زبان اور نوشتہ جات میں استعمال کیا جا سکتا ہے۔
  • نئے آپریشنز کا استعمال کرتے ہوئے لاگو کیے گئے بڑے ڈیٹا سیٹس سے نمونوں سے ملنے کی تجرباتی صلاحیت کو شامل کیا گیا۔ ڈیٹاسیٹ اور ڈیٹاریپ. مثال کے طور پر، یہ خصوصیت لاکھوں اندراجات پر مشتمل بڑی بلیک لسٹوں میں ماسک تلاش کرنے پر لاگو ہوتی ہے۔
  • HTTP معائنہ موڈ ٹیسٹ سویٹ میں بیان کردہ تمام حالات کی مکمل کوریج فراہم کرتا ہے۔ HTTP Evader (مثال کے طور پر، ٹریفک میں بدنیتی پر مبنی سرگرمی کو چھپانے کے لیے استعمال ہونے والی تکنیکوں کا احاطہ کرتا ہے)؛
  • زنگ زبان میں ماڈیول تیار کرنے کے آلات کو اختیارات سے لازمی معیاری صلاحیتوں میں منتقل کر دیا گیا ہے۔ مستقبل میں، پراجیکٹ کوڈ بیس میں زنگ کے استعمال کو وسعت دینے اور بتدریج ماڈیولز کو زنگ میں تیار کردہ ینالاگوں سے تبدیل کرنے کا منصوبہ ہے۔
  • درستگی کو بہتر بنانے اور غیر مطابقت پذیر ٹریفک کے بہاؤ کو سنبھالنے کے لیے پروٹوکول ڈیفینیشن انجن کو بہتر بنایا گیا ہے۔
  • EVE لاگ میں ایک نئی "بے ضابطگی" کے اندراج کی قسم کے لیے سپورٹ شامل کیا گیا ہے، جو پیکٹوں کو ڈی کوڈنگ کرتے وقت پائے جانے والے غیر معمولی واقعات کو محفوظ کرتا ہے۔ EVE نے VLANs اور ٹریفک کیپچر انٹرفیس کے بارے میں معلومات کے ڈسپلے کو بھی بڑھا دیا ہے۔ EVE HTTP لاگ اندراجات میں تمام HTTP ہیڈر کو محفوظ کرنے کا اختیار شامل کیا گیا ہے۔
  • eBPF پر مبنی ہینڈلرز پیکٹ کیپچر کو تیز کرنے کے لیے ہارڈویئر میکانزم کے لیے مدد فراہم کرتے ہیں۔ ہارڈ ویئر ایکسلریشن فی الحال نیٹرونوم نیٹ ورک اڈاپٹر تک محدود ہے، لیکن جلد ہی دیگر آلات کے لیے دستیاب ہو جائے گا۔
  • نیٹ میپ فریم ورک کا استعمال کرتے ہوئے ٹریفک کیپچر کرنے کا کوڈ دوبارہ لکھا گیا ہے۔ جدید نیٹ میپ کی خصوصیات جیسے کہ ورچوئل سوئچ استعمال کرنے کی صلاحیت شامل کی گئی۔ VALE;
  • شامل کیا گیا۔ سٹکی بفرز کے لیے کلیدی الفاظ کی نئی تعریف کی اسکیم کے لیے تعاون۔ نئی اسکیم کی وضاحت "protocol.buffer" فارمیٹ میں کی گئی ہے، مثال کے طور پر، URI کا معائنہ کرنے کے لیے، کلیدی لفظ "http_uri" کی بجائے "http.uri" کی شکل لے گا۔
  • استعمال ہونے والے تمام Python کوڈ کی مطابقت کے لیے جانچ کی جاتی ہے۔
    ازگر 3;

  • ٹائلرا آرکیٹیکچر، ٹیکسٹ لاگ dns.log اور پرانی لاگ فائلز-json.log کے لیے سپورٹ بند کر دی گئی ہے۔

Suricata کی خصوصیات:

  • اسکین کے نتائج کو ظاہر کرنے کے لیے متحد فارمیٹ کا استعمال متحد 2، Snort پروجیکٹ کے ذریعہ بھی استعمال کیا جاتا ہے ، جو معیاری تجزیہ ٹولز جیسے کہ استعمال کی اجازت دیتا ہے۔ barnyard2. BASE، Snorby، Sguil اور SQueRT مصنوعات کے ساتھ انضمام کا امکان۔ PCAP آؤٹ پٹ سپورٹ؛
  • پروٹوکولز (IP، TCP، UDP، ICMP، HTTP، TLS، FTP، SMB، وغیرہ) کے خودکار پتہ لگانے کے لیے معاونت، آپ کو پورٹ نمبر کے حوالے کے بغیر، صرف پروٹوکول کی قسم کے مطابق قواعد میں کام کرنے کی اجازت دیتا ہے (مثال کے طور پر، HTTP کو بلاک کریں۔ غیر معیاری بندرگاہ پر ٹریفک)۔ HTTP، SSL، TLS، SMB، SMB2، DCERPC، SMTP، FTP اور SSH پروٹوکول کے لیے ڈیکوڈرز کی دستیابی؛
  • ایک طاقتور HTTP ٹریفک تجزیہ کا نظام جو HTTP ٹریفک کو پارس کرنے اور معمول پر لانے کے لیے Mod_Security پروجیکٹ کے مصنف کی تخلیق کردہ ایک خصوصی HTP لائبریری کا استعمال کرتا ہے۔ ٹرانزٹ HTTP منتقلی کے تفصیلی لاگ کو برقرار رکھنے کے لیے ایک ماڈیول دستیاب ہے؛ لاگ کو معیاری شکل میں محفوظ کیا جاتا ہے۔
    اپاچی HTTP کے ذریعے منتقل ہونے والی فائلوں کی بازیافت اور جانچ کرنا معاون ہے۔ کمپریسڈ مواد کو پارس کرنے کے لیے معاونت۔ URI، کوکی، ہیڈرز، صارف ایجنٹ، درخواست/جواب باڈی کے ذریعے شناخت کرنے کی اہلیت؛

  • NFQueue، IPFRing، LibPcap، IPFW، AF_PACKET، PF_RING سمیت ٹریفک میں مداخلت کے لیے مختلف انٹرفیس کے لیے سپورٹ۔ PCAP فارمیٹ میں پہلے سے محفوظ شدہ فائلوں کا تجزیہ کرنا ممکن ہے۔
  • اعلی کارکردگی، روایتی آلات پر 10 گیگا بٹس/سیکنڈ تک بہاؤ پر کارروائی کرنے کی صلاحیت۔
  • آئی پی ایڈریس کے بڑے سیٹوں کے لیے ہائی پرفارمنس ماسک میچنگ میکانزم۔ ماسک اور ریگولر ایکسپریشنز کے ذریعے مواد کو منتخب کرنے کے لیے سپورٹ۔ فائلوں کو ٹریفک سے الگ کرنا، بشمول نام، قسم یا MD5 چیکسم کے ذریعے ان کی شناخت۔
  • قواعد میں متغیرات کو استعمال کرنے کی اہلیت: آپ کسی ندی سے معلومات محفوظ کر سکتے ہیں اور بعد میں اسے دوسرے اصولوں میں استعمال کر سکتے ہیں۔
  • کنفیگریشن فائلوں میں YAML فارمیٹ کا استعمال، جو آپ کو مشین کے عمل میں آسانی کے ساتھ وضاحت برقرار رکھنے کی اجازت دیتا ہے۔
  • مکمل IPv6 سپورٹ؛
  • خودکار ڈیفراگمنٹیشن اور پیکٹوں کو دوبارہ جوڑنے کے لیے بلٹ ان انجن، اسٹریمز کی درست پروسیسنگ کی اجازت دیتا ہے، قطع نظر اس کے کہ پیکٹ کس ترتیب میں آتے ہیں۔
  • ٹنلنگ پروٹوکول کے لیے سپورٹ: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • پیکٹ ڈیکوڈنگ سپورٹ: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL کنکشنز کے اندر ظاہر ہونے والی لاگنگ کیز اور سرٹیفکیٹس کا موڈ؛
  • Lua میں اسکرپٹ لکھنے کی صلاحیت جدید تجزیہ فراہم کرنے اور ٹریفک کی ان اقسام کی شناخت کے لیے درکار اضافی صلاحیتوں کو لاگو کرنے کے لیے جس کے لیے معیاری اصول کافی نہیں ہیں۔

    • ماخذ: opennet.ru

نیا تبصرہ شامل کریں