Преди няколко месеца споделихме тук в блога новината за пускането на бета версията на Snort 3 y Само преди няколко дни вече имаше RC версия за този нов клон на приложението.
като Cisco обяви формирането на кандидат за стартиране на системата за предотвратяване на атаки Хъркане 3 (известен също като проект Snort ++), който работи и изключва от 2005 г. Стабилната версия трябва да бъде пусната до месец.
Snort 3 напълно преосмисли концепцията за продукта и преработи архитектурата. Сред ключовите области на разработка за Snort 3: опростяване на конфигурацията и стартиране на Snort, автоматизиране на конфигурацията, опростяване на езика за създаване на правила, автоматично откриване на всички протоколи, осигуряване на обвивка за контрол на командния ред, използване активно
Snort разполага с база данни за атаки, която непрекъснато се актуализира чрез интернет. Потребителите могат да създават подписи въз основа на характеристиките на новите мрежови атаки и да ги изпращат в пощенския списък на подписите на Snort, тази етика на общността и споделянето направи Snort един от най-популярните, актуални и най-популярни мрежови IDS. многонишков със споделен достъп на различни контролери до една конфигурация.
Какви промени има в CR?
Направен е преход към нова конфигурационна система, който предлага опростен синтаксис и позволява използването на скриптове за динамично генериране на конфигурации. LuaJIT се използва за обработка на конфигурационни файлове. Приставките, базирани на LuaJIT, имат допълнителни опции за правила и система за регистрация.
Двигателят е модернизиран за откриване на атаки, правилата са актуализирани, добавена е възможността за свързване на буфери в правилата (лепкави буфери). Използвана е търсачката Hyperscan, която даде възможност за бързо и точно използване на задействани модели, базирани на регулярни изрази в правилата.
Добавено нов режим на самоанализ за HTTP което е със състояние на сесията и обхваща 99% от сценариите, поддържани от тестовия пакет HTTP Evader. Добавена е система за проверка на HTTP / 2 трафик.
Подобрена е ефективността на режима на дълбока проверка на пакети значително. Добавена е възможност за многонишкова обработка на пакети, позволяваща едновременно изпълнение на множество нишки с манипулатори на пакети и осигуряваща линейна мащабируемост въз основа на броя на централните ядра.
Внедрено е общо хранилище на конфигурационни и атрибутни таблици, което се споделя в различни подсистеми, което значително намалява консумацията на памет, като елиминира дублирането на информация.
Нова система за регистриране на събития, която използва JSON формат и се интегрира лесно с външни платформи като Elastic Stack.
Преход към модулна архитектура, възможността за разширяване на функционалността чрез плъгин връзка и внедряването на ключови подсистеми под формата на сменяеми приставки. Понастоящем, вече са внедрени няколкостотин приставки за Snort 3, които обхващат различни области на приложение, например ви позволяват да добавяте свои собствени кодеци, режими за интроспекция, методи за регистрация, действия и опции в правилата.
От останалите промени, които се открояват:
- Автоматично откриване на работещи услуги, премахвайки необходимостта от ръчно задаване на активни мрежови портове.
- Добавена е поддръжка на файлове за бързо заместване на настройките спрямо настройките по подразбиране. Използването на snort_config.lua и SNORT_LUA_PATH е прекратено, за да се опрости конфигурацията. Добавена поддръжка за презареждане на настройки в движение;
- Кодът предоставя възможност за използване на C ++ конструкциите, дефинирани в стандарта C ++ 14 (сборката изисква компилатор, който поддържа C ++ 14).
- Добавен е нов VXLAN контролер.
- Подобрено търсене на типове съдържание по съдържание, използвайки актуализирани алтернативни реализации на алгоритмите Boyer-Moore и Hyperscan.
- Ускорено стартиране чрез използване на множество нишки за компилиране на групи правила;
- Добавен е нов механизъм за регистрация.
- Добавена е системата за проверка на RNA (Real-time Network Awareness), която събира информация за наличните в мрежата ресурси, хостове, приложения и услуги.
Fuente: https://blog.snort.org