پس از هفت سال توسعه ، سیسکو اولین نسخه پایدار را منتشر کرد از سیستم پیشگیری از حمله Snort 3 که کاملاً دوباره طراحی شد، علاوه بر ساده سازی پیکربندی و راه اندازی Snort ، و همچنین امکان خودکار پیکربندی ، ساده سازی زبان قاعده گذاری ، شناسایی خودکار تمام پروتکل ها ، ارائه پوسته برای کنترل خط فرمان ، چند رشته فعال با دسترسی مشترک کنترل کننده های مختلف به یک پیکربندی واحد و موارد دیگر.
برای کسانی که از Snort بی اطلاع هستند ، باید این را بدانید می تواند ترافیک را در زمان واقعی تجزیه و تحلیل کند ، به فعالیت مخرب شناسایی شده پاسخ دهد و یک گزارش بسته دقیق برای تجزیه و تحلیل حوادث بعدی نگهداری کنید.
شعبه Snort 3 که با نام ++ Snort نیز شناخته می شود ، در مورد مفهوم و معماری محصول خود کاملاً تجدید نظر کرده است.
کار بر روی Snort 3 در سال 2005 آغاز شد اما خیلی زود متوقف شد و تنها پس از تحویل گرفتن پروژه توسط سیسکو در سال 2013 از سر گرفته شد.
اخبار اصلی Snort 3
در نسخه جدید Snort 3 به یک سیستم راه اندازی جدید منتقل شده است ، که یک نحو ساده را ارائه می دهد و استفاده از اسکریپت ها را برای تولید پویا پیکربندی ها امکان پذیر می کند. LuaJIT برای پردازش پرونده های پیکربندی استفاده می شود و پلاگین های مبتنی بر LuaJIT گزینه های دیگری برای قوانین و سیستم رجیستری دارند.
تغییر دیگری که خودنمایی می کند این است موتور برای شناسایی حملات مدرن شده است ، قوانین به روز شده اند ، توانایی اتصال بافرها اضافه شده است در قوانین (بافرهای چسبنده) و از موتور جستجوی Hyperscan نیز استفاده شده است ، که امکان استفاده سریعتر و دقیق تر از الگوهای ایجاد شده را بر اساس عبارات منظم در قوانین امکان پذیر کرده است.
همچنین ، در Snort 3 یک حالت درون نگری جدید برای HTTP اضافه کرد که حالت جلسه ای دارد و 99٪ سناریوهای پشتیبانی شده توسط مجموعه تست HTTP Evader را شامل می شود ، به علاوه سیستم بازرسی اضافه شده برای ترافیک HTTP / 2.
عملکرد حالت بازرسی بسته های عمیق به طور قابل توجهی بهبود یافته است. قابلیت پردازش بسته های چند رشته ای اضافه شده است ، که امکان اجرای همزمان چندین موضوع با کنترل کننده های بسته را فراهم می کند و مقیاس پذیری خطی را بر اساس تعداد هسته های پردازنده فراهم می کند.
ذخیره مشترک جداول پیکربندی اجرا شده است و ویژگی ها ، که در زیر سیستم های مختلف به اشتراک گذاشته شده است ، که با از بین بردن نسخه برداری از اطلاعات ، میزان حافظه را به میزان قابل توجهی کاهش داده است.
علاوه بر این ، همچنین انتقال به یک معماری مدولار برجسته شده است، توانایی گسترش عملکرد از طریق اتصال پلاگین و پیاده سازی زیر سیستم های کلیدی به صورت پلاگین های قابل تعویض.
در حال حاضر بیش از 200 افزونه برای Snort 3 وجود دارد که موارد مختلفی را پوشش می دهد ، از جمله اجازه می دهد تا شما کدک ها ، حالت های درون نگری ، روش های ثبت نام ، اقدامات و گزینه ها را در قوانین اضافه کنید.
از دیگر تغییراتی که نسبت به نسخه جدید متمایز هستند:
- پشتیبانی فایل برای اضافه کردن سریع تنظیمات نسبت به تنظیمات پیش فرض اضافه شده است.
- استفاده از snort_config.lua و SNORT_LUA_PATH برای ساده سازی پیکربندی متوقف شده است.
- اضافه شدن پشتیبانی برای بارگیری مجدد تنظیمات در حال پرواز.
- سیستم ثبت رویداد جدید که از قالب JSON استفاده می کند و به راحتی با سیستم عامل های خارجی مانند Elastic Stack تلفیق می شود.
- تشخیص خودکار سرویس های در حال اجرا ، حذف نیاز به تعیین دستی پورت های شبکه فعال.
- این کد توانایی استفاده از سازه های C ++ تعریف شده در استاندارد C ++ 14 را فراهم می کند (مجموعه نیاز به کامپایلری دارد که از C ++ 14 پشتیبانی کند).
- یک کنترل کننده جدید VXLAN اضافه شده است.
- جستجوی بهبود یافته انواع محتوا توسط محتوا با استفاده از پیاده سازی های جایگزین به روز شده از الگوریتم های بویر مور و هایپر اسکان.
- راه اندازی سریع با استفاده از چندین رشته برای تدوین گروه های قانون ؛
- مکانیزم جدید ثبت نام اضافه شده است.
- سیستم بازرسی RNA (Real-time Network Awareness) اضافه شده است که اطلاعات مربوط به منابع ، میزبان ها ، برنامه ها و خدمات موجود در شبکه را جمع آوری می کند.
سرانجام اگر می خواهید در مورد آن بیشتر بدانید در مورد نسخه جدید ، می توانید بررسی کنید جزئیات در لینک زیر.
اولین کسی باشید که نظر