कई महीने पहले हमने यहाँ ब्लॉग पर साझा किया था Snort 3 के बीटा संस्करण के रिलीज की खबर y यह कुछ दिनों पहले ही आरसी संस्करण था आवेदन की इस नई शाखा के लिए।
जैसे सिस्को ने इसके लिए एक लॉन्च उम्मीदवार के गठन की घोषणा की हमले की रोकथाम प्रणाली खर्राटे ३ (Snort ++ प्रोजेक्ट के रूप में भी जाना जाता है), जो 2005 से चालू और बंद काम कर रहा है। स्थिर संस्करण को एक महीने के भीतर जारी किया जाना है।
Snort 3 ने उत्पाद अवधारणा को पूरी तरह से पुनर्विचार किया और वास्तुकला को फिर से डिज़ाइन किया। स्नॉर्ट 3 के लिए विकास के प्रमुख क्षेत्रों में: स्नॉर्ट के कॉन्फ़िगरेशन और लॉन्च को सरल बनाना, कॉन्फ़िगरेशन को स्वचालित करना, नियम निर्माण भाषा को सरल बनाना, स्वचालित रूप से सभी प्रोटोकॉल का पता लगाना, कमांड लाइन नियंत्रण के लिए एक शेल प्रदान करना, उपयोग करना सक्रिय
स्नॉर्ट में हमलों का एक डेटाबेस है जो इंटरनेट के माध्यम से लगातार अपडेट किया जाता है। उपयोगकर्ता नए नेटवर्क हमलों की विशेषताओं के आधार पर हस्ताक्षर बना सकते हैं और उन्हें स्नॉर्ट की हस्ताक्षर मेलिंग सूची में जमा कर सकते हैं, समुदाय और साझाकरण की इस नीति ने स्नॉर्ट को सबसे लोकप्रिय, अप-टू-डेट और सबसे लोकप्रिय नेटवर्क-आधारित आईडी में से एक बना दिया है। एकल विन्यास के लिए विभिन्न नियंत्रकों की साझा पहुंच के साथ बहु-थ्रेडेड।
सीआर में क्या बदलाव हैं?
एक नई कॉन्फ़िगरेशन प्रणाली के लिए एक संक्रमण बनाया गया है, जो एक सरलीकृत वाक्यविन्यास प्रदान करता है और स्क्रिप्ट के उपयोग को गतिशील रूप से कॉन्फ़िगरेशन उत्पन्न करने की अनुमति देता है। LuaJIT का उपयोग विन्यास फाइल को प्रोसेस करने के लिए किया जाता है। LuaJIT- आधारित प्लगइन्स में नियमों और एक पंजीकरण प्रणाली के लिए अतिरिक्त विकल्प हैं।
हमलों का पता लगाने के लिए इंजन का आधुनिकीकरण किया गया हैनियमों को अद्यतन किया गया है, नियमों (चिपचिपा बफ़र्स) में बफ़र्स को बाँधने की क्षमता को जोड़ा गया है। हाइपरस्कैन सर्च इंजन का उपयोग किया गया है, जिसने नियमों में नियमित अभिव्यक्तियों के आधार पर ट्रिगर पैटर्न का त्वरित और सटीक उपयोग करना संभव बना दिया है।
जोड़ा HTTP के लिए एक नया आत्मनिरीक्षण मोड जो कि स्टेटफुल है और HTTP इवाडर टेस्ट सूट द्वारा समर्थित 99% परिदृश्यों को कवर करता है। HTTP / 2 यातायात के लिए जोड़ा गया निरीक्षण प्रणाली।
गहरे पैकेट निरीक्षण मोड के प्रदर्शन में सुधार किया गया है काफी है। मल्टीप्रेडेड पैकेट प्रोसेसिंग क्षमता को जोड़ा गया है, जिससे पैकेट हैंडलर के साथ कई थ्रेड्स को निष्पादित किया जा सकता है और सीपीयू कोर की संख्या के आधार पर रैखिक मापनीयता प्रदान की जा सकती है।
कॉन्फ़िगरेशन और विशेषता तालिकाओं का एक सामान्य भंडारण लागू किया गया है, जिसे विभिन्न उप-प्रणालियों में साझा किया गया है, जिसने सूचना के दोहराव को समाप्त करके स्मृति की खपत को काफी कम कर दिया है।
नया ईवेंट लॉग सिस्टम जो JSON प्रारूप का उपयोग करता है और आसानी से बाहरी प्लेटफ़ॉर्म जैसे इलास्टिक स्टैक के साथ एकीकृत होता है।
एक मॉड्यूलर वास्तुकला में संक्रमण, प्लग-इन कनेक्शन के माध्यम से कार्यक्षमता का विस्तार करने और बदली प्लग-इन के रूप में प्रमुख उप-प्रणालियों के कार्यान्वयन की क्षमता। वर्तमान में, Snort 3 के लिए कई सौ प्लगइन्स पहले से ही लागू हैं, वे विभिन्न अनुप्रयोग क्षेत्रों को कवर करते हैं, उदाहरण के लिए आप नियमों में अपने खुद के कोडेक्स, आत्मनिरीक्षण मोड, पंजीकरण विधियों, कार्यों और विकल्पों को जोड़ने की अनुमति देते हैं।
अन्य परिवर्तनों में से जो खड़े हैं:
- सक्रिय नेटवर्क पोर्ट को मैन्युअल रूप से निर्दिष्ट करने की आवश्यकता को समाप्त करते हुए, रनिंग सेवाओं की स्वचालित पहचान।
- डिफ़ॉल्ट सेटिंग्स के सापेक्ष सेटिंग्स को जल्दी से ओवरराइड करने के लिए फ़ाइल समर्थन जोड़ा गया। कॉन्फ़िगरेशन को आसान बनाने के लिए snort_config.lua और SNORT_LUA_PATH का उपयोग बंद कर दिया गया है। मक्खी पर सेटिंग्स को फिर से लोड करने के लिए जोड़ा गया समर्थन;
- कोड C ++ 14 मानक में परिभाषित C ++ कंस्ट्रक्शंस का उपयोग करने की क्षमता प्रदान करता है (असेंबली को एक कंपाइलर की आवश्यकता होती है जो C ++ 14 का समर्थन करता है)।
- एक नया VXLAN कंट्रोलर जोड़ा गया है।
- बॉयर-मूर और हाइपरस्कैन एल्गोरिदम के अद्यतन वैकल्पिक कार्यान्वयन का उपयोग करके सामग्री के प्रकारों के लिए बेहतर खोज।
- नियम समूहों को संकलित करने के लिए कई थ्रेड्स का उपयोग करके त्वरित लॉन्च;
- एक नया पंजीकरण तंत्र जोड़ा गया।
- आरएनए (रियल-टाइम नेटवर्क अवेयरनेस) निरीक्षण प्रणाली को जोड़ा गया है, जो नेटवर्क पर उपलब्ध संसाधनों, मेजबानों, अनुप्रयोगों और सेवाओं के बारे में जानकारी एकत्र करता है।
Fuente: https://blog.snort.org