ProHoster > Blog > internet yangiliklari > Suricata 6.0 hujumni aniqlash tizimining chiqarilishi

Suricata 6.0 hujumni aniqlash tizimining chiqarilishi

ПослС Π³ΠΎΠ΄Π° Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ организация OISF (Open Information Security Foundation) e'lon qilindi tarmoqqa kirishni aniqlash va oldini olish tizimini chiqarish Meerkat 6.0, bu transportning har xil turlarini tekshirish vositasini taqdim etadi. Suricata konfiguratsiyasida foydalanishga ruxsat beriladi imzo asoslari, Snort loyihasi tomonidan ishlab chiqilgan, shuningdek, qoidalar to'plami Rivojlanayotgan tahdidlar ΠΈ Rivojlanayotgan tahdidlar Pro. Loyihaning manba kodi tarqaldi GPLv2 ostida litsenziyalangan.

Asosiy o'zgarishlar:

  • ΠΠ°Ρ‡Π°Π»ΡŒΠ½Π°Ρ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° HTTP/2.
  • ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² RFB ΠΈ MQTT, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ опрСдСлСния ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° ΠΈ вСдСния Π»ΠΎΠ³Π°.
  • Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ вСдСния Π»ΠΎΠ³Π° для ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° DCERPC.
  • Π—Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ вСдСния Π»ΠΎΠ³Π° Ρ‡Π΅Ρ€Π΅Π· подсистСму EVE, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‰ΡƒΡŽ Π²Ρ‹Π²ΠΎΠ΄ событий Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ JSON. УскорСниС достигнуто благодаря Π·Π°Π΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Π½ΠΈΡŽ Π½ΠΎΠ²ΠΎΠ³ΠΎ ΠΏΠΎΡΡ‚Ρ€ΠΎΠΈΡ‚Π΅Π»ΡŒ сток JSON, написанного Π½Π° языкС Rust.
  • ΠŸΠΎΠ²Ρ‹ΡˆΠ΅Π½Π° ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΠΎΡΡ‚ΡŒ систСмы Π»ΠΎΠ³ΠΎΠ² EVE ΠΈ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ вСдСния ΠΎΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ Π»ΠΎΠ³-Ρ„Π°ΠΉΠ»Π° Π½Π° ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ ΠΏΠΎΡ‚ΠΎΠΊ.
  • Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ опрСдСлСния условий для сброса свСдСний Π² Π»ΠΎΠ³.
  • Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ отраТСния MAC-адрСсов Π² Π»ΠΎΠ³Π΅ EVE ΠΈ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ Π΄Π΅Ρ‚Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Π»ΠΎΠ³Π° DNS.
  • ΠŸΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ Π΄Π²ΠΈΠΆΠΊΠ° ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΠΎΡ‚ΠΎΠΊΠΎΠ² (flow engine).
  • ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΉ SSH (HASSH).
  • РСализация Π΄Π΅ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Ρ‰ΠΈΠΊΠ° Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ GENEVE.
  • На языкС Rust пСрСписан ΠΊΠΎΠ΄ для ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ASN.1, DCERPC ΠΈ SSH. На Rust Ρ‚Π°ΠΊΠΆΠ΅ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Π½ΠΎΠ²Ρ‹Ρ… ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ².
  • Π’ языкС опрСдСлСния ΠΏΡ€Π°Π²ΠΈΠ» Π² ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠΌ словС byte_jump Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° from_end, Π° Π² byte_test β€” ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° bitmask. Π Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½ΠΎ ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠ΅ слово pcrexform, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ рСгулярныС выраТСния (pcre) для Π·Π°Ρ…Π²Π°Ρ‚Π° подстроки. Π”ΠΎΠ±Π°Π²Π»Π΅Π½ΠΎ ΠΏΡ€Π΅ΠΎΠ±Ρ€Π°Π·ΠΎΠ²Π°Π½ΠΈΠ΅ urldecode. Π”ΠΎΠ±Π°Π²Π»Π΅Π½ΠΎ ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠ΅ слово byte_math.
  • ΠŸΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»Π΅Π½ΠΈΡ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования cbindgen для Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ привязок Π½Π° языках Rust ΠΈ C.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° Π½Π°Ρ‡Π°Π»ΡŒΠ½Π°Ρ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΠ»Π°Π³ΠΈΠ½ΠΎΠ².

Suricata xususiyatlari:

  • Tekshiruv natijalarini ko'rsatish uchun yagona formatdan foydalanish birlashtirilgan 2, shuningdek, Snort loyihasi tomonidan qo'llaniladi, bu kabi standart tahlil vositalaridan foydalanishga imkon beradi hovli 2. BASE, Snorby, Sguil va SQueRT mahsulotlari bilan integratsiya qilish imkoniyati. PCAP formatida chiqishni qo'llab-quvvatlash;
  • Protokollarni avtomatik aniqlashni qo'llab-quvvatlash (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB va boshqalar), bu sizga qoidalarda faqat protokol turi bo'yicha, port raqamiga murojaat qilmasdan ishlashga imkon beradi (uchun). masalan, nostandart portda HTTP trafigini bloklash uchun). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP va SSH protokollari uchun dekoderlar;
  • HTTP trafigini tahlil qilish va normallashtirish uchun Mod_Security loyihasi muallifi tomonidan yaratilgan maxsus HTP kutubxonasidan foydalanadigan kuchli HTTP trafigini tahlil qilish tizimi. Tranzit HTTP o'tkazmalarining batafsil jurnalini yuritish uchun modul mavjud, jurnal standart formatda saqlanadi.
    Apache. HTTP protokoli orqali uzatiladigan fayllarni chiqarish va tekshirish qo'llab-quvvatlanadi. Siqilgan tarkibni tahlil qilishni qo'llab-quvvatlash. URI, Cookie, sarlavhalar, foydalanuvchi-agent, so'rov/javob tanasi orqali aniqlash qobiliyati;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING kabi trafikni ushlab turish uchun turli xil interfeyslarni qo'llab-quvvatlash. PCAP formatida allaqachon saqlangan fayllarni tahlil qilish mumkin;
  • Yuqori unumdorlik, an'anaviy uskunada 10 gigabit / s gacha oqimlarni qayta ishlash qobiliyati.
  • Katta IP manzillar to'plamiga ega yuqori samarali niqob mos keladigan vosita. Niqob va oddiy iboralar bo'yicha tarkib tanlashni qo'llab-quvvatlash. Fayllarni trafikdan ajratish, shu jumladan nomi, turi yoki MD5 nazorat summasi bo'yicha identifikatsiya qilish.
  • Qoidalarda o'zgaruvchilardan foydalanish imkoniyati: siz oqimdan ma'lumotni saqlashingiz va keyin uni boshqa qoidalarda ishlatishingiz mumkin;
  • YAML formatini konfiguratsiya fayllarida ishlatish, bu sizga mashinada ishlov berish qulayligi bilan ko'rinishni saqlashga imkon beradi;
  • To'liq IPv6 qo'llab-quvvatlash;
  • Paketlarni avtomatik defragmentatsiya qilish va qayta yig'ish uchun o'rnatilgan dvigatel, bu paketlarning kelish tartibidan qat'i nazar, oqimlarni to'g'ri qayta ishlashni ta'minlash imkonini beradi;
  • Tunnel protokollarini qo'llab-quvvatlash: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Paket dekodlashni qo'llab-quvvatlash: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL ulanishlarida paydo bo'ladigan kalitlar va sertifikatlar uchun jurnalga yozish rejimi;
  • Ilg'or tahlilni ta'minlash va standart qoidalar etarli bo'lmagan trafik turlarini aniqlash uchun zarur bo'lgan qo'shimcha funktsiyalarni amalga oshirish uchun Lua skriptlarini yozish qobiliyati.

Manba: opennet.ru

a Izoh qo'shish