بعد سبع سنوات من التطوير ، أصدرت Cisco أول إصدار مستقر من نظام منع الهجمات Snort 3 الذي أعيد تصميمه بالكامل، بالإضافة إلى تبسيط التكوين وإطلاق Snort ، وكذلك إمكانية أتمتة التكوين ، تبسيط لغة وضع القواعد ، واكتشاف جميع البروتوكولات تلقائيًا ، وتوفير قذيفة للتحكم في سطر الأوامر ، خيوط متعددة نشطة مع وصول مشترك لوحدات تحكم مختلفة إلى تكوين واحد وأكثر.
لأولئك الذين ليسوا على دراية بـ Snort ، يجب أن تعرف ذلك يمكنه تحليل حركة المرور في الوقت الفعلي ، والاستجابة للنشاط الضار المكتشف والاحتفاظ بسجل حزمة مفصل لتحليل الحوادث لاحقًا.
أعاد فرع Snort 3 ، المعروف أيضًا باسم مشروع Snort ++ ، التفكير بالكامل في مفهوم وهندسة منتجهم.
بدأ العمل في Snort 3 في 2005 ولكن سرعان ما تم التخلي عنه واستؤنف فقط في 2013 بعد أن تولت Cisco المشروع.
سنورت 3 الأخبار الرئيسية
في الإصدار الجديد من تم نقل Snort 3 إلى نظام إعداد جديد ، الذي يوفر بناء جملة مبسطًا ويسمح باستخدام البرامج النصية لإنشاء التكوينات ديناميكيًا. يتم استخدام LuaJIT لمعالجة ملفات التكوين ، وتحتوي المكونات الإضافية المستندة إلى LuaJIT على خيارات إضافية للقواعد ونظام التسجيل.
التغيير الآخر الذي يبرز هو ذلك تم تحديث المحرك لاكتشاف الهجمات ، تم تحديث القواعد ، تمت إضافة القدرة على ربط المخازن المؤقتة في القواعد (المخازن المؤقتة اللاصقة) وتم أيضًا استخدام محرك البحث Hyperscan ، مما جعل من الممكن استخدام الأنماط المشغلة بشكل أسرع وأكثر دقة بناءً على التعبيرات العادية في القواعد ؛
أيضا ، في Snort 3 أضاف وضع استبطان جديد لـ HTTP وهي حالة جلسة وتغطي 99٪ من السيناريوهات التي تدعمها مجموعة اختبار HTTP Evader ، بالإضافة إلى نظام الفحص المضاف لحركة مرور HTTP / 2.
تم تحسين أداء وضع فحص الحزمة العميق بشكل ملحوظ. تمت إضافة إمكانية معالجة الحزم متعددة الخيوط ، مما يسمح بالتنفيذ المتزامن لخيوط متعددة باستخدام معالجات الحزم ويوفر قابلية التوسع الخطية بناءً على عدد مراكز وحدة المعالجة المركزية
تم تنفيذ تخزين مشترك لجداول التكوين والسمات ، التي يتم مشاركتها في أنظمة فرعية مختلفة ، والتي أدت إلى تقليل استهلاك الذاكرة بشكل كبير من خلال القضاء على تكرار المعلومات.
من ناحية أخرى ، أيضا يتم تمييز الانتقال إلى بنية معيارية، القدرة على توسيع الوظائف من خلال توصيل المكونات الإضافية وتنفيذ أنظمة فرعية رئيسية في شكل مكونات إضافية قابلة للاستبدال.
يوجد حاليًا أكثر من 200 مكون إضافي لـ Snort 3 ، تغطي مجموعة متنوعة من الاستخدامات ، مثل السماح لك بإضافة برامج الترميز الخاصة بك ، وأوضاع الاستبطان ، وطرق التسجيل ، والإجراءات ، والخيارات في القواعد.
من التغييرات الأخرى التي تبرز عن الإصدار الجديد:
- تمت إضافة دعم الملفات لتجاوز الإعدادات المتعلقة بالإعدادات الافتراضية بسرعة.
- توقف استخدام snort_config.lua و SNORT_LUA_PATH لتبسيط التكوين.
- تمت إضافة دعم لإعادة تحميل الإعدادات أثناء التنقل.
- نظام سجل أحداث جديد يستخدم تنسيق JSON ويتكامل بسهولة مع الأنظمة الأساسية الخارجية مثل Elastic Stack.
- الكشف التلقائي عن الخدمات قيد التشغيل ، مما يلغي الحاجة إلى تحديد منافذ الشبكة النشطة يدويًا.
- يوفر الكود القدرة على استخدام بنيات C ++ المحددة في معيار C ++ 14 (يتطلب التجميع مترجمًا يدعم C ++ 14).
- تمت إضافة وحدة تحكم VXLAN جديدة.
- بحث محسّن عن أنواع المحتوى حسب المحتوى باستخدام تطبيقات بديلة محدّثة لخوارزميات Boyer-Moore و Hyperscan.
- التشغيل السريع باستخدام مؤشرات ترابط متعددة لترجمة مجموعات القاعدة ؛
- تمت إضافة آلية تسجيل جديدة.
- تمت إضافة نظام فحص RNA (Real-time Network Awareness) ، والذي يجمع معلومات حول الموارد والمضيفين والتطبيقات والخدمات المتاحة على الشبكة.
أخيرا إذا كنت تريد معرفة المزيد عنها حول الإصدار الجديد ، يمكنك التحقق التفاصيل في الرابط التالي.