ProHoster > Блог > ayelujara iroyin > Itusilẹ ti Suricata 6.0 eto wiwa ifọle

Itusilẹ ti Suricata 6.0 eto wiwa ifọle

После года разработки организация OISF (Open Information Security Foundation) atejade itusilẹ ti wiwa ifọle nẹtiwọki ati eto idena Meerkat 6.0, eyi ti o pese irinṣẹ fun ayewo orisirisi orisi ti ijabọ. Ni awọn atunto Suricata o ṣee ṣe lati lo awọn apoti isura infomesonu, ni idagbasoke nipasẹ Snort ise agbese, bi daradara bi tosaaju ti awọn ofin Nyoju Irokeke и Nyoju Irokeke Pro. Awọn orisun ise agbese tànkálẹ iwe-aṣẹ labẹ GPLv2.

Awọn iyipada akọkọ:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Awọn ẹya ara ẹrọ ti Suricata:

  • Lilo ọna kika isokan lati ṣafihan awọn abajade ọlọjẹ Isokan2, tun lo nipasẹ iṣẹ akanṣe Snort, eyiti o fun laaye ni lilo awọn irinṣẹ itupalẹ boṣewa gẹgẹbi barnyard2. O ṣeeṣe ti iṣọpọ pẹlu awọn ọja BASE, Snorby, Sguil ati SQueRT. PCAP o wu support;
  • Atilẹyin fun wiwa aifọwọyi ti awọn ilana (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ati bẹbẹ lọ), gbigba ọ laaye lati ṣiṣẹ ni awọn ofin nikan nipasẹ iru ilana, laisi itọkasi si nọmba ibudo (fun apẹẹrẹ, dina HTTP). ijabọ lori ibudo ti kii ṣe boṣewa) . Wiwa awọn olupilẹṣẹ fun HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ati awọn ilana SSH;
  • Eto itupalẹ ijabọ HTTP ti o lagbara ti o nlo ile-ikawe HTP pataki kan ti a ṣẹda nipasẹ onkọwe ti iṣẹ akanṣe Mod_Security lati ṣe itupalẹ ati ṣe deede ijabọ HTTP. Module kan wa fun titọju alaye alaye ti awọn gbigbe HTTP gbigbe; akọọlẹ ti wa ni fipamọ ni ọna kika boṣewa
    Apache. Gbigba ati ṣayẹwo awọn faili ti o tan kaakiri nipasẹ HTTP jẹ atilẹyin. Atilẹyin fun sisọ akoonu fisinuirindigbindigbin. Agbara lati ṣe idanimọ nipasẹ URI, Kukisi, awọn akọle, aṣoju olumulo, ara ibeere / idahun;

  • Atilẹyin fun ọpọlọpọ awọn atọkun fun idawọle ijabọ, pẹlu NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. O ṣee ṣe lati ṣe itupalẹ awọn faili ti o ti fipamọ tẹlẹ ni ọna PCAP;
  • Išẹ giga, agbara lati ṣe ilana ṣiṣan to 10 gigabits / iṣẹju-aaya lori ohun elo aṣa.
  • Ilana ibaramu iboju boju-giga fun awọn eto nla ti awọn adirẹsi IP. Atilẹyin fun yiyan akoonu nipasẹ iboju-boju ati awọn ikosile deede. Yiya sọtọ awọn faili lati ijabọ, pẹlu idanimọ wọn nipasẹ orukọ, oriṣi tabi MD5 checksum.
  • Agbara lati lo awọn oniyipada ni awọn ofin: o le fipamọ alaye lati ṣiṣan kan ati nigbamii lo ninu awọn ofin miiran;
  • Lilo ọna kika YAML ni awọn faili atunto, eyiti o fun ọ laaye lati ṣetọju mimọ lakoko ti o rọrun si ilana ẹrọ;
  • Atilẹyin IPv6 ni kikun;
  • Enjini ti a ṣe sinu fun idinku aifọwọyi ati isọdọtun ti awọn apo-iwe, gbigba fun sisẹ deede ti awọn ṣiṣan, laibikita aṣẹ ti awọn apo-iwe de;
  • Atilẹyin fun awọn ilana tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Atilẹyin iyipada apo: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Ipo fun awọn bọtini iwọle ati awọn iwe-ẹri ti o han laarin awọn asopọ TLS/SSL;
  • Agbara lati kọ awọn iwe afọwọkọ ni Lua lati pese itupalẹ ilọsiwaju ati imuse awọn agbara afikun ti o nilo lati ṣe idanimọ awọn iru ijabọ eyiti awọn ofin boṣewa ko to.

orisun: opennet.ru

Fi ọrọìwòye kun