پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > Suricata 6.0 دخل اندازی کا پتہ لگانے کے نظام کی رہائی

Suricata 6.0 دخل اندازی کا پتہ لگانے کے نظام کی رہائی

После года разработки организация OISF (Open Information Security Foundation) опубликовала نیٹ ورک کی مداخلت کا پتہ لگانے اور روک تھام کے نظام کی رہائی میرکات 6.0، جو ٹریفک کی مختلف اقسام کا معائنہ کرنے کے لیے ٹولز فراہم کرتا ہے۔ Suricata کنفیگریشنز میں اس کا استعمال ممکن ہے۔ دستخطی ڈیٹا بیس، Snort پروجیکٹ کے ساتھ ساتھ قواعد کے سیٹ کے ذریعہ تیار کیا گیا ہے۔ ابھرتی ہوئی دھمکیاں и ابھرتی ہوئی دھمکیاں پرو. پروجیکٹ کے ذرائع پھیلاؤ GPLv2 کے تحت لائسنس یافتہ۔

اہم تبدیلیاں:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1۔, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Suricata کی خصوصیات:

  • اسکین کے نتائج کو ظاہر کرنے کے لیے متحد فارمیٹ کا استعمال متحد 2، Snort پروجیکٹ کے ذریعہ بھی استعمال کیا جاتا ہے ، جو معیاری تجزیہ ٹولز جیسے کہ استعمال کی اجازت دیتا ہے۔ barnyard2. BASE، Snorby، Sguil اور SQueRT مصنوعات کے ساتھ انضمام کا امکان۔ PCAP آؤٹ پٹ سپورٹ؛
  • پروٹوکولز (IP، TCP، UDP، ICMP، HTTP، TLS، FTP، SMB، وغیرہ) کے خودکار پتہ لگانے کے لیے معاونت، آپ کو پورٹ نمبر کے حوالے کے بغیر، صرف پروٹوکول کی قسم کے مطابق قواعد میں کام کرنے کی اجازت دیتا ہے (مثال کے طور پر، HTTP کو بلاک کریں۔ غیر معیاری بندرگاہ پر ٹریفک)۔ HTTP، SSL، TLS، SMB، SMB2، DCERPC، SMTP، FTP اور SSH پروٹوکول کے لیے ڈیکوڈرز کی دستیابی؛
  • ایک طاقتور HTTP ٹریفک تجزیہ کا نظام جو HTTP ٹریفک کو پارس کرنے اور معمول پر لانے کے لیے Mod_Security پروجیکٹ کے مصنف کی تخلیق کردہ ایک خصوصی HTP لائبریری کا استعمال کرتا ہے۔ ٹرانزٹ HTTP منتقلی کے تفصیلی لاگ کو برقرار رکھنے کے لیے ایک ماڈیول دستیاب ہے؛ لاگ کو معیاری شکل میں محفوظ کیا جاتا ہے۔
    اپاچی HTTP کے ذریعے منتقل ہونے والی فائلوں کی بازیافت اور جانچ کرنا معاون ہے۔ کمپریسڈ مواد کو پارس کرنے کے لیے معاونت۔ URI، کوکی، ہیڈرز، صارف ایجنٹ، درخواست/جواب باڈی کے ذریعے شناخت کرنے کی اہلیت؛

  • NFQueue، IPFRing، LibPcap، IPFW، AF_PACKET، PF_RING سمیت ٹریفک میں مداخلت کے لیے مختلف انٹرفیس کے لیے سپورٹ۔ PCAP فارمیٹ میں پہلے سے محفوظ شدہ فائلوں کا تجزیہ کرنا ممکن ہے۔
  • اعلی کارکردگی، روایتی آلات پر 10 گیگا بٹس/سیکنڈ تک بہاؤ پر کارروائی کرنے کی صلاحیت۔
  • آئی پی ایڈریس کے بڑے سیٹوں کے لیے ہائی پرفارمنس ماسک میچنگ میکانزم۔ ماسک اور ریگولر ایکسپریشنز کے ذریعے مواد کو منتخب کرنے کے لیے سپورٹ۔ فائلوں کو ٹریفک سے الگ کرنا، بشمول نام، قسم یا MD5 چیکسم کے ذریعے ان کی شناخت۔
  • قواعد میں متغیرات کو استعمال کرنے کی اہلیت: آپ کسی ندی سے معلومات محفوظ کر سکتے ہیں اور بعد میں اسے دوسرے اصولوں میں استعمال کر سکتے ہیں۔
  • کنفیگریشن فائلوں میں YAML فارمیٹ کا استعمال، جو آپ کو مشین کے عمل میں آسانی کے ساتھ وضاحت برقرار رکھنے کی اجازت دیتا ہے۔
  • مکمل IPv6 سپورٹ؛
  • خودکار ڈیفراگمنٹیشن اور پیکٹوں کو دوبارہ جوڑنے کے لیے بلٹ ان انجن، اسٹریمز کی درست پروسیسنگ کی اجازت دیتا ہے، قطع نظر اس کے کہ پیکٹ کس ترتیب میں آتے ہیں۔
  • ٹنلنگ پروٹوکول کے لیے سپورٹ: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • پیکٹ ڈیکوڈنگ سپورٹ: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL کنکشنز کے اندر ظاہر ہونے والی لاگنگ کیز اور سرٹیفکیٹس کا موڈ؛
  • Lua میں اسکرپٹ لکھنے کی صلاحیت جدید تجزیہ فراہم کرنے اور ٹریفک کی ان اقسام کی شناخت کے لیے درکار اضافی صلاحیتوں کو لاگو کرنے کے لیے جس کے لیے معیاری اصول کافی نہیں ہیں۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں