Prije nekoliko mjeseci podijelili smo ovdje na blogu vijest o izlasku beta verzije Snort 3 y tek je prije nekoliko dana postojala RC verzija za ovu novu granu aplikacije.
kao Cisco je najavio formiranje kandidata za pokretanje sustav za sprečavanje napada Otpuhnite 3 (poznat i kao projekt Snort ++), koji radi i isključuje se od 2005. Stabilna verzija trebala bi biti objavljena u roku od mjesec dana.
Snort 3 potpuno je preispitao koncept proizvoda i redizajnirao arhitekturu. Među ključnim područjima razvoja za Snort 3: pojednostavljivanje konfiguracije i pokretanje Snorta, automatizacija konfiguracije, pojednostavljivanje jezika za stvaranje pravila, automatsko otkrivanje svih protokola, pružanje ljuske za kontrolu naredbenog retka, upotreba aktivne
Snort ima bazu podataka napada koja se neprestano ažurira putem interneta. Korisnici mogu stvoriti potpise na temelju karakteristika novih mrežnih napada i predati ih na Snort-ov popis za slanje potpisa, ova etika zajedništva i dijeljenja učinila je Snort jednim od najpopularnijih, najnovijih i najpopularnijih mrežnih IDS-a. višenitni sa zajedničkim pristupom različitih kontrolera jednoj konfiguraciji
Koje su promjene u CR-u?
Izvršen je prijelaz na novi konfiguracijski sustav, koji nudi pojednostavljenu sintaksu i omogućuje upotrebu skripti za dinamičko generiranje konfiguracija. LuaJIT se koristi za obradu konfiguracijskih datoteka. Dodaci temeljeni na LuaJIT-u imaju dodatne mogućnosti za pravila i sustav registracije.
Motor je moderniziran za otkrivanje napada, pravila su ažurirana, dodana je mogućnost vezivanja međuspremnika u pravila (ljepljivi međuspremnici). Korištena je tražilica Hyperscan koja je omogućila brzu i preciznu upotrebu okidanih uzoraka na temelju regularnih izraza u pravilima.
Dodano novi način introspekcije za HTTP koji sadrži stanje sesije i pokriva 99% scenarija podržanih od paketa za testiranje HTTP Evader. Dodan inspekcijski sustav za HTTP / 2 promet.
Poboljšane su izvedbe načina dubokog pregleda paketa značajno. Dodana je mogućnost obrade paketa s više niti, omogućujući simultano izvršavanje više niti s rukovateljima paketa i pružajući linearnu skalabilnost na temelju broja CPU jezgri.
Implementirano je zajedničko spremište tablica konfiguracije i atributa koje se dijeli u različitim podsustavima, što je značajno smanjilo potrošnju memorije eliminirajući dupliciranje podataka.
Novi sustav evidencije događaja koji koristi JSON format i lako se integrira s vanjskim platformama kao što je Elastic Stack.
Prijelaz na modularnu arhitekturu, mogućnost proširenja funkcionalnosti putem priključnog priključka i implementacije ključnih podsustava u obliku zamjenjivih dodataka. Trenutno, nekoliko stotina dodataka je već implementirano za Snort 3, Oni pokrivaju različita područja primjene, na primjer omogućujući vam dodavanje vlastitih kodeka, načina introspekcije, načina registracije, radnji i opcija u pravila.
Od ostalih istaknutih promjena:
- Automatsko otkrivanje pokrenutih usluga, uklanjajući potrebu za ručnim određivanjem aktivnih mrežnih priključaka.
- Dodana je podrška za datoteke za brzo poništavanje postavki u odnosu na zadane postavke. Upotreba snort_config.lua i SNORT_LUA_PATH prekinuta je radi pojednostavljenja konfiguracije. Dodana podrška za ponovno učitavanje postavki u letu;
- Kôd pruža mogućnost korištenja konstrukcija C ++ definiranih u standardu C ++ 14 (sklop zahtijeva kompajler koji podržava C ++ 14).
- Dodan je novi VXLAN kontroler.
- Poboljšano pretraživanje vrsta sadržaja prema sadržaju korištenjem ažuriranih alternativnih implementacija algoritama Boyer-Moore i Hyperscan.
- Ubrzano pokretanje korištenjem više niti za sastavljanje grupa pravila;
- Dodan novi mehanizam registracije.
- Dodan je sustav inspekcije RNA (Real-time Network Awareness) koji prikuplja informacije o resursima, hostovima, aplikacijama i uslugama dostupnim na mreži.
izvor: https://blog.snort.org