פּראָהאָסטער > בלאָג > אינטערנעט נייַעס > מעלדונג פון Suricata 6.0 ינטרוזשאַן דיטעקשאַן סיסטעם

מעלדונג פון Suricata 6.0 ינטרוזשאַן דיטעקשאַן סיסטעם

После года разработки организация OISF (Open Information Security Foundation) ארויס מעלדונג פון נעץ ינטרוזשאַן דיטעקשאַן און פאַרהיטונג סיסטעם Meerkat 6.0, וואָס גיט מכשירים פֿאַר דורכקוק פאַרשידן טייפּס פון פאַרקער. אין Suricata קאַנפיגיעריישאַנז עס איז מעגלעך צו נוצן כסימע דאַטאַבייסיז, דעוועלאָפּעד דורך די סנאָרט פּרויעקט, ווי געזונט ווי שטעלט פון כּללים ימערדזשינג טרעץ и ימערדזשינג טרעץ פּראָ. פּראָיעקט מקורים פאַרשפּרייטן לייסאַנסט אונטער GPLv2.

הויפּט ענדערונגען:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки אַסנ .1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

פֿעיִקייטן פון Suricata:

  • ניצן אַ יונאַפייד פֿאָרמאַט צו ווייַזן יבערקוקן רעזולטאַטן יונאַפייד 2, אויך געניצט דורך די סנאָרט פּרויעקט, וואָס אַלאַוז די נוצן פון נאָרמאַל אַנאַליסיס מכשירים אַזאַ ווי barnyard2. מעגלעכקייט פון ינטאַגריישאַן מיט BASE, Snorby, Sguil און SQueRT פּראָדוקטן. פּקאַפּ רעזולטאַט שטיצן;
  • שטיצן פֿאַר אָטאַמאַטיק דיטעקשאַן פון פּראָטאָקאָלס (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, אאז"ו ו), אַלאַוינג איר צו אַרבעטן אין כּללים בלויז דורך פּראָטאָקאָל טיפּ, אָן דערמאָנען צו די פּאָרט נומער (למשל, פאַרשפּאַרן HTTP פאַרקער אויף אַ ניט-נאָרמאַל פּאָרט). אַוויילאַביליטי פון דיקאָוערז פֿאַר הטטפּ, ססל, טלס, סמב, סמב2, דסערפּק, סמטפּ, פטפּ און סש פּראָטאָקאָלס;
  • א שטאַרק HTTP פאַרקער אַנאַליסיס סיסטעם וואָס ניצט אַ ספּעציעל HTP ביבליאָטעק באשאפן דורך דער מחבר פון די Mod_Security פּרויעקט צו פּאַרס און נאָרמאַלייז HTTP פאַרקער. א מאָדולע איז בארעכטיגט צו האַלטן אַ דיטיילד קלאָץ פון דורכפאָר הטטפּ טראַנספערס; דער קלאָץ איז געראטעוועט אין אַ נאָרמאַל פֿאָרמאַט
    אַפּאַטשי. ריטריווינג און קאָנטראָלירונג טעקעס טראַנסמיטטעד דורך הטטפּ איז געשטיצט. שטיצן פֿאַר פּאַרסינג קאַמפּרעסט אינהאַלט. פיייקייט צו ידענטיפיצירן דורך URI, קיכל, כעדערז, באַניצער-אַגענט, בעטן / ענטפער גוף;

  • שטיצן פֿאַר פאַרשידן ינטערסעפּשאַנז פֿאַר פאַרקער ינטערסעפּשאַן, אַרייַנגערעכנט NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. עס איז מעגלעך צו אַנאַלייז שוין געראטעוועט טעקעס אין פּקאַפּ פֿאָרמאַט;
  • הויך פאָרשטעלונג, פיייקייט צו פּראָצעס פלאָוז אַרויף צו 10 גיגאבייט / סעק אויף קאַנווענשאַנאַל ויסריכט.
  • הויך-פאָרשטעלונג מאַסקע וואָס ריכטן מעקאַניזאַם פֿאַר גרויס שטעלט פון IP אַדרעסעס. שטיצן פֿאַר סאַלעקטינג אינהאַלט דורך מאַסקע און רעגולער אויסדרוקן. יזאָלירן טעקעס פון פאַרקער, אַרייַנגערעכנט זייער לעגיטימאַציע דורך נאָמען, טיפּ אָדער MD5 טשעקקסום.
  • פיייקייט צו נוצן וועריאַבאַלז אין כּללים: איר קענען ראַטעווען אינפֿאָרמאַציע פון ​​אַ טייַך און שפּעטער נוצן עס אין אנדערע כּללים;
  • ניצן די YAML פֿאָרמאַט אין קאַנפיגיעריישאַן טעקעס, וואָס אַלאַוז איר צו האַלטן קלעריטי בשעת די פּראָצעס איז גרינג צו מאַשין;
  • גאַנץ IPv6 שטיצן;
  • געבויט-אין מאָטאָר פֿאַר אָטאַמאַטיק דעפראַגמענטאַטיאָן און ריאַסעמבאַלינג פון פּאַקיץ, אַלאַוינג די ריכטיק פּראַסעסינג פון סטרימז, ראַגאַרדלאַס פון די סדר אין וואָס פּאַקיץ אָנקומען;
  • שטיצן פֿאַר טאַנאַלינג פּראָטאָקאָלס: טערעדאָ, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • פּאַקאַט דיקאָודינג שטיצן: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • מאָדע פֿאַר לאָגינג שליסלען און סערטיפיקאַץ אין TLS / SSL קאַנעקשאַנז;
  • די פיייקייט צו שרייַבן סקריפּס אין לואַ צו צושטעלן אַוואַנסירטע אַנאַליסיס און ינסטרומענט נאָך קייפּאַבילאַטיז צו ידענטיפיצירן טייפּס פון פאַרקער פֿאַר וואָס נאָרמאַל כּללים זענען נישט גענוג.

מקור: opennet.ru

לייגן אַ באַמערקונג