經過一年的發展,OISF(開放資安基金會)組織 網路入侵偵測與防禦系統發布 ,它提供了用於檢查各種類型流量的工具。 在 Suricata 配置中,可以使用 ,由 Snort 專案開發,以及規則集 и 。 專案來源 在 GPLv2 下獲得許可。
主要變化:
- 初步支援 HTTP/2。
- 支援 RFB 和 MQTT 協議,包括定義協議和維護日誌的能力。
- 可以記錄 DCERPC 協定。
- 透過 EVE 子系統顯著提高了日誌記錄效能,該子系統提供 JSON 格式的事件輸出。 由於使用了用 Rust 語言編寫的新 JSON stock 建構器,實現了加速。
- EVE日誌系統的可擴展性得到了提高,並且實現了為每個執行緒維護單獨的日誌檔案的能力。
- 能夠定義將資訊重設到日誌的條件。
- 可以在 EVE 日誌中反映 MAC 位址並增加 DNS 日誌的詳細資訊。
- 提高串流引擎的性能。
- 支援識別 SSH 實作().
- GENEVE 隧道解碼器的實作。
- 處理程式碼已用 Rust 語言重寫 、DCERPC 和 SSH。 Rust 也支援新協定。
- 在規則定義語言中,byte_jump關鍵字增加了對from_end參數的支持,byte_test增加了對bitmask參數的支援。 實作了 pcrexform 關鍵字以允許使用正規表示式 (pcre) 捕獲子字串。 添加了 urldecode 轉換。 新增了 byte_math 關鍵字。
- 提供使用 cbindgen 產生 Rust 和 C 語言綁定的能力。
- 新增了初始插件支援。
蘇利卡塔的特點:
- 使用統一的格式顯示掃描結果 ,也被 Snort 專案使用,它允許使用標準分析工具,例如 。 可與 BASE、Snorby、Sguil 和 SQueRT 產品整合。 PCAP輸出支援;
- 支援自動偵測協定(IP、TCP、UDP、ICMP、HTTP、TLS、FTP、SMB等),讓您僅按協定類型在規則中進行操作,無需參考連接埠號碼(例如封鎖HTTP非標準連接埠上的流量) 。 提供 HTTP、SSL、TLS、SMB、SMB2、DCERPC、SMTP、FTP 和 SSH 協定解碼器;
- 一個強大的HTTP流量分析系統,使用Mod_Security專案作者建立的特殊HTP庫來解析和規範HTTP流量。 有一個模組可用於維護 HTTP 傳輸的詳細日誌;日誌以標準格式儲存
阿帕奇。 支援檢索和檢查透過 HTTP 傳輸的檔案。 支援解析壓縮內容。 能夠透過 URI、Cookie、標頭、用戶代理、請求/回應正文進行識別; - 支援多種介面進行流量攔截,包括NFQueue、IPFRing、LibPcap、IPFW、AF_PACKET、PF_RING。 可以分析已儲存的 PCAP 格式檔案;
- 高效能,能夠在傳統設備上處理高達 10 GB/秒的流量。
- 針對大量 IP 位址的高效能遮罩匹配機制。 支援透過遮罩和正規表示式選擇內容。 將檔案與流量隔離,包括透過名稱、類型或 MD5 校驗和進行識別。
- 能夠在規則中使用變數:您可以保存流程中的信息,然後在其他規則中使用它;
- 在設定檔中使用 YAML 格式,這可讓您保持清晰度,同時易於加工處理;
- 完整的 IPv6 支援;
- 內建資料包自動碎片整理和重組引擎,無論資料包到達的順序如何,都可以正確處理流;
- 支援隧道協定:Teredo、IP-IP、IP6-IP4、IP4-IP6、GRE;
- 封包解碼支援:IPv4、IPv6、TCP、UDP、SCTP、ICMPv4、ICMPv6、GRE、Ethernet、PPP、PPPoE、Raw、SLL、VLAN;
- 用於記錄 TLS/SSL 連線中出現的金鑰和憑證的模式;
- 能夠在 Lua 中編寫腳本以提供高級分析並實現識別標準規則不足以滿足的流量類型所需的附加功能。
來源: opennet.ru