מעלדונג פון Suricata 6.0 ינטרוזשאַן דיטעקשאַן סיסטעם
После года разработки организация OISF (Open Information Security Foundation) ארויס מעלדונג פון נעץ ינטרוזשאַן דיטעקשאַן און פאַרהיטונג סיסטעם Meerkat 6.0, וואָס גיט מכשירים פֿאַר דורכקוק פאַרשידן טייפּס פון פאַרקער. אין Suricata קאַנפיגיעריישאַנז עס איז מעגלעך צו נוצן כסימע דאַטאַבייסיז, דעוועלאָפּעד דורך די סנאָרט פּרויעקט, ווי געזונט ווי שטעלט פון כּללים ימערדזשינג טרעץ и ימערדזשינג טרעץ פּראָ. פּראָיעקט מקורים פאַרשפּרייטן לייסאַנסט אונטער GPLv2.
הויפּט ענדערונגען:
Начальная поддержка HTTP/2.
Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
Возможность ведения лога для протокола DCERPC.
Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
Возможность определения условий для сброса сведений в лог.
Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
Повышение производительности движка обработки потоков (flow engine).
На языке Rust переписан код для обработки אַסנ .1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
Добавлена начальная поддержка плагинов.
פֿעיִקייטן פון Suricata:
ניצן אַ יונאַפייד פֿאָרמאַט צו ווייַזן יבערקוקן רעזולטאַטן יונאַפייד 2, אויך געניצט דורך די סנאָרט פּרויעקט, וואָס אַלאַוז די נוצן פון נאָרמאַל אַנאַליסיס מכשירים אַזאַ ווי barnyard2. מעגלעכקייט פון ינטאַגריישאַן מיט BASE, Snorby, Sguil און SQueRT פּראָדוקטן. פּקאַפּ רעזולטאַט שטיצן;
שטיצן פֿאַר אָטאַמאַטיק דיטעקשאַן פון פּראָטאָקאָלס (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, אאז"ו ו), אַלאַוינג איר צו אַרבעטן אין כּללים בלויז דורך פּראָטאָקאָל טיפּ, אָן דערמאָנען צו די פּאָרט נומער (למשל, פאַרשפּאַרן HTTP פאַרקער אויף אַ ניט-נאָרמאַל פּאָרט). אַוויילאַביליטי פון דיקאָוערז פֿאַר הטטפּ, ססל, טלס, סמב, סמב2, דסערפּק, סמטפּ, פטפּ און סש פּראָטאָקאָלס;
א שטאַרק HTTP פאַרקער אַנאַליסיס סיסטעם וואָס ניצט אַ ספּעציעל HTP ביבליאָטעק באשאפן דורך דער מחבר פון די Mod_Security פּרויעקט צו פּאַרס און נאָרמאַלייז HTTP פאַרקער. א מאָדולע איז בארעכטיגט צו האַלטן אַ דיטיילד קלאָץ פון דורכפאָר הטטפּ טראַנספערס; דער קלאָץ איז געראטעוועט אין אַ נאָרמאַל פֿאָרמאַט
אַפּאַטשי. ריטריווינג און קאָנטראָלירונג טעקעס טראַנסמיטטעד דורך הטטפּ איז געשטיצט. שטיצן פֿאַר פּאַרסינג קאַמפּרעסט אינהאַלט. פיייקייט צו ידענטיפיצירן דורך URI, קיכל, כעדערז, באַניצער-אַגענט, בעטן / ענטפער גוף;
פיייקייט צו נוצן וועריאַבאַלז אין כּללים: איר קענען ראַטעווען אינפֿאָרמאַציע פון אַ טייַך און שפּעטער נוצן עס אין אנדערע כּללים;
ניצן די YAML פֿאָרמאַט אין קאַנפיגיעריישאַן טעקעס, וואָס אַלאַוז איר צו האַלטן קלעריטי בשעת די פּראָצעס איז גרינג צו מאַשין;
גאַנץ IPv6 שטיצן;
געבויט-אין מאָטאָר פֿאַר אָטאַמאַטיק דעפראַגמענטאַטיאָן און ריאַסעמבאַלינג פון פּאַקיץ, אַלאַוינג די ריכטיק פּראַסעסינג פון סטרימז, ראַגאַרדלאַס פון די סדר אין וואָס פּאַקיץ אָנקומען;
די פיייקייט צו שרייַבן סקריפּס אין לואַ צו צושטעלן אַוואַנסירטע אַנאַליסיס און ינסטרומענט נאָך קייפּאַבילאַטיז צו ידענטיפיצירן טייפּס פון פאַרקער פֿאַר וואָס נאָרמאַל כּללים זענען נישט גענוג.