ProHoster > Блог > ayelujara iroyin > Suricata 5.0 kolu erin eto wa

Suricata 5.0 kolu erin eto wa

Ajo OISF (Ipilẹ Aabo Alaye Ṣii) atejade itusilẹ ti wiwa ifọle nẹtiwọki ati eto idena Meerkat 5.0, eyi ti o pese irinṣẹ fun ayewo orisirisi orisi ti ijabọ. Ni awọn atunto Suricata o ṣee ṣe lati lo awọn apoti isura infomesonu, ni idagbasoke nipasẹ Snort ise agbese, bi daradara bi tosaaju ti awọn ofin Nyoju Irokeke и Nyoju Irokeke Pro. Awọn orisun ise agbese tànkálẹ iwe-aṣẹ labẹ GPLv2.

Awọn iyipada akọkọ:

  • Awọn modulu titun fun ṣiṣetọka ati awọn ilana iwọle ti jẹ ifihan
    RDP, SNMP ati SIP ti a kọ sinu ipata. Agbara lati wọle nipasẹ EVE subsystem ti ni afikun si module parsing FTP, pese iṣẹjade iṣẹlẹ ni ọna kika JSON;

  • Ni afikun si atilẹyin fun ọna idanimọ alabara JA3 TLS ti o han ninu itusilẹ to kẹhin, atilẹyin ọna naa JA3S, gbigba Da lori awọn abuda ti idunadura asopọ ati awọn paramita pàtó kan, pinnu kini sọfitiwia ti a lo lati fi idi asopọ kan mulẹ (fun apẹẹrẹ, o fun ọ laaye lati pinnu lilo Tor ati awọn ohun elo boṣewa miiran). JA3 faye gba o lati setumo awọn onibara, ati JA3S faye gba o lati setumo olupin. Awọn abajade ti ipinnu le ṣee lo ni ede eto ofin ati ninu awọn akọọlẹ;
  • Agbara adanwo ti a ṣafikun lati baramu awọn ayẹwo lati awọn ipilẹ data nla, ti a ṣe imuse nipa lilo awọn iṣẹ ṣiṣe tuntun dataset ati datarep. Fun apẹẹrẹ, ẹya naa wulo fun wiwa awọn iboju iparada ni awọn atokọ dudu nla ti o ni awọn miliọnu awọn titẹ sii;
  • Ipo ayewo HTTP n pese agbegbe ni kikun ti gbogbo awọn ipo ti a ṣalaye ninu suite idanwo naa HTTP Evader (fun apẹẹrẹ, bo awọn ilana ti a lo lati tọju iṣẹ irira ni ijabọ);
  • Awọn irinṣẹ fun idagbasoke awọn modulu ni ede Rust ti gbe lati awọn aṣayan si awọn agbara boṣewa dandan. Ni ọjọ iwaju, o ti gbero lati faagun lilo ipata ni ipilẹ koodu iṣẹ akanṣe ati rọpo awọn modulu ni kutukutu pẹlu awọn analogues ti o dagbasoke ni Rust;
  • Enjini asọye ilana ti ni ilọsiwaju lati mu ilọsiwaju sii ati mu awọn ṣiṣan ijabọ asynchronous;
  • Atilẹyin fun iru titẹ sii “anomaly” tuntun ti ni afikun si akọọlẹ EVE, eyiti o tọju awọn iṣẹlẹ aiṣedeede ti a rii nigbati awọn idii iyipada. EVE ti tun faagun ifihan alaye nipa VLANs ati awọn atọkun Yaworan ijabọ. Aṣayan afikun lati ṣafipamọ gbogbo awọn akọle HTTP ni awọn titẹ sii wọle EVE http;
  • Awọn olutọju orisun-eBPF n pese atilẹyin fun awọn ọna ẹrọ ohun elo fun mimu imudara soso. Imudara ohun elo lọwọlọwọ ni opin si awọn oluyipada nẹtiwọọki Netronome, ṣugbọn yoo wa laipẹ fun ohun elo miiran;
  • Awọn koodu fun yiya awọn ijabọ nipa lilo awọn Netmap ilana ti a ti tunkọ. Ṣe afikun agbara lati lo awọn ẹya Netmap to ti ni ilọsiwaju gẹgẹbi iyipada foju Vale;
  • Fi kun atilẹyin fun ero asọye Koko tuntun fun Awọn Buffers Sticky. Eto tuntun naa jẹ asọye ni ọna kika “protocol.buffer”, fun apẹẹrẹ, fun ayẹwo URI kan, koko yoo gba fọọmu “http.uri” dipo “http_uri”;
  • Gbogbo Python koodu ti a lo ni idanwo fun ibamu pẹlu
    Python3;

  • Atilẹyin fun faaji Tilera, ọrọ log dns.log ati awọn faili log atijọ-json.log ti dawọ duro.

Awọn ẹya ara ẹrọ ti Suricata:

  • Lilo ọna kika isokan lati ṣafihan awọn abajade ọlọjẹ Isokan2, tun lo nipasẹ iṣẹ akanṣe Snort, eyiti o fun laaye ni lilo awọn irinṣẹ itupalẹ boṣewa gẹgẹbi barnyard2. O ṣeeṣe ti iṣọpọ pẹlu awọn ọja BASE, Snorby, Sguil ati SQueRT. PCAP o wu support;
  • Atilẹyin fun wiwa aifọwọyi ti awọn ilana (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ati bẹbẹ lọ), gbigba ọ laaye lati ṣiṣẹ ni awọn ofin nikan nipasẹ iru ilana, laisi itọkasi si nọmba ibudo (fun apẹẹrẹ, dina HTTP). ijabọ lori ibudo ti kii ṣe boṣewa) . Wiwa awọn olupilẹṣẹ fun HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ati awọn ilana SSH;
  • Eto itupalẹ ijabọ HTTP ti o lagbara ti o nlo ile-ikawe HTP pataki kan ti a ṣẹda nipasẹ onkọwe ti iṣẹ akanṣe Mod_Security lati ṣe itupalẹ ati ṣe deede ijabọ HTTP. Module kan wa fun titọju alaye alaye ti awọn gbigbe HTTP gbigbe; akọọlẹ ti wa ni fipamọ ni ọna kika boṣewa
    Apache. Gbigba ati ṣayẹwo awọn faili ti o tan kaakiri nipasẹ HTTP jẹ atilẹyin. Atilẹyin fun sisọ akoonu fisinuirindigbindigbin. Agbara lati ṣe idanimọ nipasẹ URI, Kukisi, awọn akọle, aṣoju olumulo, ara ibeere / idahun;

  • Atilẹyin fun ọpọlọpọ awọn atọkun fun idawọle ijabọ, pẹlu NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. O ṣee ṣe lati ṣe itupalẹ awọn faili ti o ti fipamọ tẹlẹ ni ọna PCAP;
  • Išẹ giga, agbara lati ṣe ilana ṣiṣan to 10 gigabits / iṣẹju-aaya lori ohun elo aṣa.
  • Ilana ibaramu iboju boju-giga fun awọn eto nla ti awọn adirẹsi IP. Atilẹyin fun yiyan akoonu nipasẹ iboju-boju ati awọn ikosile deede. Yiya sọtọ awọn faili lati ijabọ, pẹlu idanimọ wọn nipasẹ orukọ, oriṣi tabi MD5 checksum.
  • Agbara lati lo awọn oniyipada ni awọn ofin: o le fipamọ alaye lati ṣiṣan kan ati nigbamii lo ninu awọn ofin miiran;
  • Lilo ọna kika YAML ni awọn faili atunto, eyiti o fun ọ laaye lati ṣetọju mimọ lakoko ti o rọrun si ilana ẹrọ;
  • Atilẹyin IPv6 ni kikun;
  • Enjini ti a ṣe sinu fun idinku aifọwọyi ati isọdọtun ti awọn apo-iwe, gbigba fun sisẹ deede ti awọn ṣiṣan, laibikita aṣẹ ti awọn apo-iwe de;
  • Atilẹyin fun awọn ilana tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Atilẹyin iyipada apo: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Ipo fun awọn bọtini iwọle ati awọn iwe-ẹri ti o han laarin awọn asopọ TLS/SSL;
  • Agbara lati kọ awọn iwe afọwọkọ ni Lua lati pese itupalẹ ilọsiwaju ati imuse awọn agbara afikun ti o nilo lati ṣe idanimọ awọn iru ijabọ eyiti awọn ofin boṣewa ko to.

    • orisun: opennet.ru

Fi ọrọìwòye kun