Snort 3 arriveer met 'n totale herontwerp en hierdie nuus

Donkerkrizt | | Opgedateer op | aansoeke

Geen kommentaar nie

Na sewe jaar van ontwikkeling, Cisco het die eerste stabiele weergawe vrygestel van die aanvalvoorkomingstelsel Snort 3 wat heeltemal herontwerp is, benewens die vereenvoudiging van die konfigurasie en bekendstelling van Snort, sowel as die moontlikheid om konfigurasie te outomatiseer, vereenvoudig die reëlstaal, spoor outomaties alle protokolle op, verskaf dop vir beheer van opdraglyne, aktiewe multi-threading met gedeelde toegang van verskillende beheerders tot 'n enkele konfigurasie en meer.

Vir diegene wat nie van Snort weet nie, moet u dit weet kan verkeer intyds analiseer, reageer op kwaadwillige aktiwiteite wat opgespoor word en hou 'n gedetailleerde pakketlogboek in vir latere analise van voorvalle.

Die Snort 3-tak, ook bekend as die Snort ++ -projek, het die konsep en argitektuur van hul produk volledig heroorweeg.

Die werk aan Snort 3 het in 2005 begin, maar is binnekort laat vaar en is eers weer in 2013 hervat nadat Cisco die projek oorgeneem het.

Snork 3 hoofnuus

In die nuwe weergawe van Snort 3 is oorgeskakel na 'n nuwe instelstelsel, Dit bied 'n vereenvoudigde sintaksis en laat die gebruik van skrifte toe om konfigurasies dinamies te genereer. LuaJIT word gebruik om konfigurasielêers te verwerk, en LuaJIT-gebaseerde inproppe het addisionele opsies vir reëls en 'n registerstelsel.

Nog 'n verandering wat opval, is dat die enjin is gemoderniseer om aanvalle op te spoor, die reëls is opgedateer, die vermoë om buffers te bind is bygevoeg in die reëls (sticky buffers) en die Hyperscan-soekenjin is ook gebruik, wat dit moontlik gemaak het om geaktiveerde patrone vinniger en meer presies te gebruik gebaseer op gereelde uitdrukkings in die reëls;

Ook in Snort 3 het 'n nuwe introspeksiemodus vir HTTP bygevoeg wat sessievol is en 99% van die scenario's dek wat ondersteun word deur die HTTP Evader-toetspakket, plus die bykomende inspeksiestelsel vir HTTP / 2-verkeer.

Die werkverrigting van die dieppakket-inspeksiemodus is aansienlik verbeter. Verwerkingsvermoë vir multi-draad-pakkies is bygevoeg, wat gelyktydige uitvoering van veelvuldige drade met pakkiehanteerders moontlik maak en lineêre skaalbaarheid bied op grond van die aantal CPU-kerne.

'N Algemene stoor van konfigurasietabelle is geïmplementeer en eienskappe, wat in verskillende substelsels gedeel word, wat geheueverbruik aansienlik verminder het deur duplisering van inligting uit te skakel.

Aan die ander kant, ook die oorgang na 'n modulêre argitektuur word uitgelig, die vermoë om funksionaliteit uit te brei deur inpropverbinding en die implementering van belangrike substelsels in die vorm van vervangbare inproppe.

Daar is tans meer as 200 invoegtoepassings vir Snort 3, wat 'n verskeidenheid toepassings dek, soos om u eie codecs, introspeksiemodusse, registrasiemetodes, aksies en opsies in die reëls te voeg.

Van die ander veranderinge wat opval in die nuwe weergawe:

  • Ondersteuning vir lêers is bygevoeg om instellings vinnig te ignoreer ten opsigte van standaardinstellings.
  • Die gebruik van snort_config.lua en SNORT_LUA_PATH is gestaak om die opset te vereenvoudig.
  • Ondersteuning bygevoeg vir die herlaai van instellings op die vlieg.
  • Nuwe gebeurtenislogstelsel wat JSON-formaat gebruik en maklik geïntegreer kan word met eksterne platforms soos Elastic Stack.
  • Outomatiese opsporing van lopende dienste, wat die behoefte om handige netwerkpoorte handmatig te spesifiseer, uit die weg ruim.
  • Die kode bied die vermoë om die C ++ - konstrukte wat in die C ++ 14 - standaard gedefinieër is, te gebruik (die samestelling benodig 'n samesteller wat C ++ 14 ondersteun).
  • 'N Nuwe VXLAN-beheerder is bygevoeg.
  • Verbeterde soeke na inhoudstipes deur middel van opgedateerde alternatiewe implementerings van die Boyer-Moore- en Hyperscan-algoritmes.
  • Versnelde bekendstelling deur gebruik te maak van verskeie drade om reëlgroepe saam te stel;
  • Het 'n nuwe registrasiemeganisme bygevoeg.
  • Die inspeksiestelsel (RNA (Real-time Network Awareness)) is bygevoeg wat inligting versamel oor bronne, gashere, toepassings en dienste wat op die netwerk beskikbaar is.

Uiteindelik as u meer daaroor wil weet oor die nuwe weergawe, kan u dit nagaan die besonderhede in die volgende skakel.


Die inhoud van die artikel voldoen aan ons beginsels van redaksionele etiek. Klik op om 'n fout te rapporteer hier.

Wees die eerste om te kommentaar lewer

Laat u kommentaar

Jou e-posadres sal nie gepubliseer word nie. Verpligte velde gemerk met *

*

*

  1. Verantwoordelik vir die data: Miguel Ángel Gatón
  2. Doel van die data: Beheer SPAM, bestuur van kommentaar.
  3. Wettiging: U toestemming
  4. Kommunikasie van die data: Die data sal nie aan derde partye oorgedra word nie, behalwe deur wettige verpligtinge.
  5. Datastoor: databasis aangebied deur Occentus Networks (EU)
  6. Regte: U kan u inligting te alle tye beperk, herstel en verwyder.