Cisco phiên bản beta cuối cùng của hệ thống ngăn chặn tấn công được thiết kế lại hoàn toàn , còn được gọi là dự án Snort++, được thực hiện không liên tục kể từ năm 2005. Một ứng cử viên phát hành dự kiến sẽ được xuất bản vào cuối năm nay.
Ở chi nhánh mới, khái niệm sản phẩm được xem xét lại hoàn toàn và kiến trúc được thiết kế lại. Trong số các lĩnh vực được nhấn mạnh khi chuẩn bị một nhánh mới, có sự đơn giản hóa việc thiết lập và khởi chạy Snort, tự động hóa cấu hình, đơn giản hóa ngôn ngữ để xây dựng quy tắc, tự động phát hiện tất cả các giao thức, cung cấp shell để điều khiển từ lệnh dòng, sử dụng tích cực đa luồng với quyền truy cập chung của các bộ xử lý khác nhau vào một cấu hình.
Những đổi mới quan trọng sau đây đã được thực hiện:
- Quá trình chuyển đổi đã được thực hiện sang hệ thống cấu hình mới cung cấp cú pháp đơn giản hóa và cho phép sử dụng tập lệnh để tạo cài đặt động. LuaJIT được sử dụng để xử lý các tập tin cấu hình. Các plugin dựa trên LuaJIT được cung cấp khả năng triển khai các tùy chọn bổ sung cho quy tắc và hệ thống ghi nhật ký;
- Công cụ phát hiện tấn công đã được hiện đại hóa, các quy tắc đã được cập nhật và khả năng liên kết bộ đệm trong quy tắc (bộ đệm dính) đã được thêm vào. Công cụ tìm kiếm Hyperscan đã được sử dụng, cho phép sử dụng các mẫu được kích hoạt nhanh và chính xác hơn dựa trên các biểu thức chính quy trong quy tắc;
- Đã thêm chế độ xem xét nội tâm mới cho HTTP có tính đến trạng thái phiên và bao gồm 99% các tình huống được bộ thử nghiệm hỗ trợ . Mã hỗ trợ HTTP/2 đang được phát triển;
- Hiệu suất của chế độ kiểm tra gói sâu đã được cải thiện đáng kể. Đã thêm khả năng xử lý gói đa luồng, cho phép thực hiện đồng thời một số luồng với bộ xử lý gói và cung cấp khả năng mở rộng tuyến tính tùy thuộc vào số lượng lõi CPU;
- Một bảng thuộc tính và lưu trữ cấu hình chung đã được triển khai, được chia sẻ giữa các hệ thống con khác nhau, giúp giảm đáng kể mức tiêu thụ bộ nhớ bằng cách loại bỏ sự trùng lặp thông tin;
- Hệ thống ghi sự kiện mới sử dụng định dạng JSON và dễ dàng tích hợp với các nền tảng bên ngoài như Elastic Stack;
- Chuyển đổi sang kiến trúc mô-đun, khả năng mở rộng chức năng thông qua việc kết nối các plugin và triển khai các hệ thống con chính dưới dạng các plugin có thể thay thế. Hiện tại, hàng trăm plugin đã được triển khai cho Snort 3, bao gồm nhiều lĩnh vực ứng dụng khác nhau, chẳng hạn như cho phép bạn thêm codec, chế độ xem xét nội tâm, phương pháp ghi nhật ký, hành động và tùy chọn vào quy tắc của riêng mình;
- Tự động phát hiện các dịch vụ đang chạy, loại bỏ nhu cầu chỉ định thủ công các cổng mạng đang hoạt động.
Những thay đổi so với bản phát hành thử nghiệm cuối cùng được xuất bản vào năm 2018:
- Đã thêm hỗ trợ cho các tệp để ghi đè nhanh các cài đặt liên quan đến cấu hình mặc định;
- Mã này cung cấp khả năng sử dụng các cấu trúc C++ được xác định trong tiêu chuẩn C++14 (bản dựng yêu cầu trình biên dịch hỗ trợ C++14);
- Đã thêm trình xử lý VXLAN mới;
- Cải thiện tìm kiếm loại nội dung theo nội dung bằng cách sử dụng triển khai thuật toán thay thế được cập nhật и ;
- Hệ thống kiểm tra lưu lượng HTTP/2 gần như đã sẵn sàng;
- Quá trình khởi động được tăng tốc bằng cách sử dụng nhiều luồng để biên dịch các nhóm quy tắc;
- Đã thêm cơ chế ghi nhật ký mới;
- Cải thiện khả năng phát hiện lỗi Lua và danh sách trắng được tối ưu hóa;
- Các thay đổi đã được thực hiện để cho phép tải lại cài đặt một cách nhanh chóng;
- Hệ thống kiểm tra RNA (Nhận thức mạng thời gian thực) đã được thêm vào, thu thập thông tin về tài nguyên, máy chủ, ứng dụng và dịch vụ có sẵn trên mạng;
- Để đơn giản hóa việc cấu hình, việc sử dụng snort_config.lua và SNORT_LUA_PATH đã bị ngừng.
Nguồn: opennet.ru