Useita kuukausia sitten jaoimme täällä blogissa uutiset Snort 3: n beta-version julkaisemisesta y vasta muutama päivä sitten oli jo RC-versio tälle sovelluksen uudelle haaralle.
kuten Cisco ilmoitti perustavansa ehdokkaan hyökkäysten estojärjestelmä Snortti 3 (tunnetaan myös nimellä Snort ++ -projekti), joka on työskennellyt ja lopettanut vuodesta 2005. Vakaa versio on tarkoitus julkaista kuukauden kuluessa.
Snort 3 on täysin uudistanut tuotekonseptin ja suunnitellut arkkitehtuurin uudelleen. Snort 3: n tärkeimpien kehityskohteiden joukossa: Snortin kokoonpanon yksinkertaistaminen ja käynnistäminen, määritysten automatisointi, sääntöjen luomisen kielen yksinkertaistaminen, kaikkien protokollien havaitseminen automaattisesti, komentorivin ohjauksen kuoren tarjoaminen, käyttö aktiivinen
Snortilla on tietokanta hyökkäyksistä, jota päivitetään jatkuvasti Internetin kautta. Käyttäjät voivat luoda allekirjoituksia uusien verkkohyökkäysten ominaisuuksien perusteella ja lähettää ne Snortin allekirjoitusten postituslistalle. Tämä yhteisön ja jakamisen etiikka on tehnyt Snortista yhden suosituimmista, ajantasaisimmista ja suosituimmista verkkopohjaisista IDS: stä. Vankka monisäikeinen jaetun ohjaimen pääsy yhteen kokoonpanoon.
Mitä muutoksia CR: ssä on?
Siirtyminen uuteen kokoonpanojärjestelmään on tehty, joka tarjoaa yksinkertaistetun syntaksin ja sallii komentosarjojen käytön määritysten luomiseen dynaamisesti. LuaJITia käytetään määritystiedostojen käsittelyyn. LuaJIT-pohjaisilla laajennuksilla on lisäasetuksia sääntöihin ja rekisteröintijärjestelmään.
Moottori on uudistettu hyökkäysten havaitsemiseksi, säännöt on päivitetty, kyky sitoa sääntöjen puskurit (tahmeat puskurit) on lisätty. Hyperscan-hakukonetta on käytetty, mikä mahdollisti laukaistujen kuvioiden nopean ja tarkan käytön sääntöjen säännöllisten lausekkeiden perusteella.
Lisätty uusi HTTP: n itsetarkastustila joka on istunnon tilainen ja kattaa 99% HTTP Evader -testisarjan tukemista skenaarioista. Lisätty HTTP / 2-liikenteen tarkastusjärjestelmä.
Pakettitarkastustilan suorituskykyä on parannettu merkittävästi. Monisäikeinen pakettinkäsittelyominaisuus on lisätty, mikä sallii useiden säikeiden samanaikaisen suorittamisen pakettien käsittelijöillä ja tarjoaa lineaarisen skaalautuvuuden CPU-ytimien lukumäärän perusteella.
Kokoonpano- ja attribuuttitaulukoiden yhteinen varastointi on toteutettu, joka on jaettu eri alijärjestelmiin, mikä on vähentänyt merkittävästi muistin kulutusta poistamalla tietojen päällekkäisyydet.
Uusi tapahtumalokijärjestelmä, joka käyttää JSON-muotoa ja integroituu helposti ulkoisiin alustoihin, kuten Elastic Stack.
Siirtyminen modulaariseen arkkitehtuuriin, kyky laajentaa toiminnallisuutta laajennusliitännän avulla ja toteuttamalla tärkeimmät alijärjestelmät vaihdettavien laajennusten muodossa. Nykyisessä, useita satoja laajennuksia on jo toteutettu Snort 3: lle, jotka kattavat useita sovellusalueita, esimerkiksi sallivat sinun lisätä sääntöihin omat koodekit, itsetarkastustilat, rekisteröintimenetelmät, toiminnot ja vaihtoehdot.
Muista erottuvista muutoksista:
- Käynnissä olevien palvelujen automaattinen tunnistus, jolloin aktiivisia verkkoportteja ei tarvitse määrittää manuaalisesti.
- Lisätty tiedostotuki ohittaa asetukset nopeasti suhteessa oletusasetuksiin. Snort_config.lua: n ja SNORT_LUA_PATH: n käyttö on lopetettu kokoonpanon yksinkertaistamiseksi. Lisätty tuki asetusten lataamiseen lennossa;
- Koodi tarjoaa mahdollisuuden käyttää C ++ 14 -standardissa määriteltyjä C ++ -rakenteita (kokoonpano vaatii kääntäjän, joka tukee C ++ 14: ää).
- Uusi VXLAN-ohjain on lisätty.
- Parannettu sisältötyyppien haku sisällön mukaan käyttämällä Boyer-Moore- ja Hyperscan-algoritmien päivitettyjä vaihtoehtoisia toteutuksia.
- Nopeutettu käynnistys käyttämällä useita säikeitä sääntöryhmien kokoamiseen;
- Lisätty uusi rekisteröintimekanismi.
- RNA (Real-time Network Awareness) -tarkastusjärjestelmä on lisätty, joka kerää tietoa verkossa käytettävissä olevista resursseista, isännistä, sovelluksista ja palveluista.
lähde: https://blog.snort.org