Cisco kompaniyasi butunlay qayta ishlab chiqilgan hujumni oldini olish tizimi uchun reliz nomzodini ishlab chiqish bo'yicha , shuningdek, 2005 yildan beri uzluksiz ishlayotgan Snort++ loyihasi sifatida ham tanilgan. Stabil nashrni bir oy ichida nashr etish rejalashtirilgan.
Snort 3 filialida mahsulot kontseptsiyasi butunlay qayta ko'rib chiqildi va arxitektura qayta ishlandi. Snort 3-ni rivojlantirishning asosiy yo'nalishlari orasida: Snort-ni sozlash va ishga tushirishni soddalashtirish, konfiguratsiyani avtomatlashtirish, qoidalarni yaratish tilini soddalashtirish, barcha protokollarni avtomatik aniqlash, buyruq satridan boshqarish uchun qobiqni ta'minlash, faol foydalanish. turli protsessorlarning yagona konfiguratsiyaga qo'shma kirishi bilan multithreading.
Quyidagi muhim innovatsiyalar amalga oshirildi:
- Soddalashtirilgan sintaksisni taklif qiluvchi va sozlamalarni dinamik ravishda yaratish uchun skriptlardan foydalanishga imkon beruvchi yangi konfiguratsiya tizimiga o'tish amalga oshirildi. LuaJIT konfiguratsiya fayllarini qayta ishlash uchun ishlatiladi. LuaJIT-ga asoslangan plaginlar qoidalar va jurnallar tizimi uchun qo'shimcha variantlarni amalga oshirish bilan ta'minlangan;
- Hujumni aniqlash mexanizmi modernizatsiya qilindi, qoidalar yangilandi va qoidalardagi buferlarni bog'lash qobiliyati (yopishqoq buferlar) qo'shildi. Hyperscan qidiruv tizimidan foydalanildi, bu esa qoidalardagi muntazam iboralar asosida tez va aniqroq ishga tushirilgan naqshlardan foydalanish imkonini berdi;
- HTTP uchun seans holatini hisobga oladigan va test to'plami tomonidan qo'llab-quvvatlanadigan vaziyatlarning 99 foizini qamrab oluvchi yangi introspektsiya rejimi qo'shildi . HTTP/2 trafikni tekshirish tizimi qo'shildi;
- Chuqur paketlarni tekshirish rejimining ishlashi sezilarli darajada yaxshilandi. Paket protsessorlari bilan bir vaqtning o'zida bir nechta oqimlarni bajarishga imkon beruvchi va protsessor yadrolari soniga qarab chiziqli miqyoslilikni ta'minlaydigan ko'p tarmoqli paketlarni qayta ishlash qobiliyati qo'shildi;
- Turli quyi tizimlar o'rtasida taqsimlanadigan umumiy konfiguratsiyani saqlash va atribut jadvallari amalga oshirildi, bu ma'lumotlarning takrorlanishini bartaraf etish orqali xotira sarfini sezilarli darajada kamaytirdi;
- JSON formatidan foydalanadigan va Elastic Stack kabi tashqi platformalar bilan osongina integratsiyalangan yangi hodisalar jurnali tizimi;
- Modulli arxitekturaga o'tish, plaginlarni ulash va almashtiriladigan plaginlar ko'rinishidagi asosiy quyi tizimlarni amalga oshirish orqali funksionallikni kengaytirish qobiliyati. Hozirda Snort 3 uchun bir necha yuzlab plaginlar allaqachon amalga oshirilgan bo'lib, ular dasturning turli sohalarini qamrab oladi, masalan, qoidalarga o'z kodeklaringizni, introspektsiya rejimlarini, jurnalga yozish usullarini, harakatlarni va variantlarni qo'shish imkonini beradi;
- Ishlayotgan xizmatlarni avtomatik aniqlash, faol tarmoq portlarini qo'lda belgilash zaruratini yo'q qiladi.
- Standart konfiguratsiyaga nisbatan sozlamalarni tezda bekor qilish uchun fayllarni qo'llab-quvvatlash qo'shildi. Konfiguratsiyani soddalashtirish uchun snort_config.lua va SNORT_LUA_PATH dan foydalanish toβxtatildi.
Sozlamalarni tezda qayta yuklash uchun qo'shilgan yordam; - Kod C++ 14 standartida belgilangan C++ konstruksiyalaridan foydalanish imkoniyatini beradi (qurilish uchun C++14 ni qoβllab-quvvatlaydigan kompilyator kerak);
- Yangi VXLAN ishlov beruvchisi qo'shildi;
- Yangilangan alternativ algoritmlardan foydalangan holda kontent turlarini qidirish yaxshilandi ΠΈ ;
- Qoidalar guruhlarini kompilyatsiya qilish uchun bir nechta ish zarralari yordamida ishga tushirish tezlashadi;
- Yangi ro'yxatga olish mexanizmi qo'shildi;
- RNK (Real-time Network Awareness) tekshirish tizimi qo'shildi, u tarmoqda mavjud resurslar, xostlar, ilovalar va xizmatlar haqida ma'lumot to'playdi.
Manba: opennet.ru