Néhány hónappal ezelőtt itt osztottuk meg a blogot a Snort 3 béta verziójának megjelenésének híre y csak néhány napja volt már RC verzió az alkalmazás új ágához.
mint A Cisco bejelentette az induló jelölt megalakítását a támadások megelőzésére szolgáló rendszer Horkolás 3 (más néven Snort ++ projekt), amely 2005 óta dolgozik és kikapcsol. A stabil verzió a tervek szerint egy hónapon belül megjelenik.
A Snort 3 teljesen újragondolta a termékkoncepciót, és átalakította az architektúrát. A Snort 3 legfontosabb fejlesztési területei között: a Snort konfigurálásának és indításának egyszerűsítése, a konfiguráció automatizálása, a szabály létrehozásának nyelvének egyszerűsítése, az összes protokoll automatikus felismerése, héj biztosítása a parancssori vezérléshez, használat aktív
A Snortnak van egy támadás-adatbázisa, amelyet az interneten keresztül folyamatosan frissítenek. A felhasználók az új hálózati támadások jellemzői alapján készíthetnek aláírásokat, és elküldhetik őket a Snort aláírási levelezőlistájára. A közösség és a megosztás ezen etikája a Snort-ot az egyik legnépszerűbb, naprakész és legnépszerűbb hálózati alapú IDS-be tette. Robusztus többszálas, különböző vezérlők megosztott hozzáférésével egyetlen konfigurációhoz.
Milyen változások vannak a CR-ben?
Átálltak egy új konfigurációs rendszerre, amely egyszerűsített szintaxist és lehetővé teszi a szkriptek használatát a konfigurációk dinamikus előállításához. A LuaJIT a konfigurációs fájlok feldolgozására szolgál. A LuaJIT-alapú beépülő modulok további lehetőségeket kínálnak a szabályokhoz és a regisztrációs rendszerhez.
A motort korszerűsítették a támadások felderítésére, a szabályok frissültek, hozzáadódott a szabályokban szereplő pufferek (ragadós pufferek) megkötésének képessége. A Hyperscan keresőmotort alkalmazták, amely lehetővé tette a szabályokban szereplő reguláris kifejezéseken alapuló kiváltott minták gyors és pontos használatát.
Hozzáadva egy új önvizsgálati mód a HTTP számára amely munkamenetállapotú és lefedi a HTTP Evader tesztkészlet által támogatott forgatókönyvek 99% -át. Hozzáadott ellenőrzési rendszer a HTTP / 2 forgalomhoz.
Javult a mély csomagellenőrzési mód teljesítménye szignifikánsan. Többszálas csomagfeldolgozási képességgel bővült, amely lehetővé teszi több szál egyidejű végrehajtását csomagkezelőkkel és lineáris méretezhetőséget biztosít a CPU magok száma alapján.
Megvalósult a konfigurációs és attribútumtáblák közös tárolása, amelyet a különböző alrendszerek osztanak meg, ami jelentősen csökkentette a memóriafelhasználást az információk duplikációjának kiküszöbölésével.
Új eseménynapló rendszer, amely JSON formátumot használ, és könnyen integrálható olyan külső platformokkal, mint az Elastic Stack.
Áttérés moduláris architektúrára, a funkcionalitás bővítésének lehetősége plug-in kapcsolaton keresztül és kulcsfontosságú alrendszerek megvalósítása cserélhető plug-inek formájában. Jelenleg, több száz plugin van már megvalósítva a Snort 3-hoz, Különféle alkalmazási területeket fednek le, például lehetővé teszik saját kodekek, önellenőrzési módok, regisztrációs módszerek, műveletek és opciók hozzáadását a szabályokhoz.
A többi kiemelkedő változás közül:
- A futó szolgáltatások automatikus felismerése, feleslegessé téve az aktív hálózati portok manuális megadását.
- Fájlok támogatása az alapértelmezett beállításokhoz képest gyorsan felülírja a beállításokat. A snort_config.lua és a SNORT_LUA_PATH használatát megszüntettük a konfiguráció egyszerűsítése érdekében. Hozzáadott támogatás a beállítások menet közbeni újratöltéséhez;
- A kód lehetővé teszi a C ++ 14 szabványban meghatározott C ++ konstrukciók használatát (az összeállításhoz fordító szükséges, amely támogatja a C ++ 14-et).
- Új VXLAN vezérlő került hozzá.
- Továbbfejlesztett tartalomtípusok szerinti keresés a Boyer-Moore és a Hyperscan algoritmusok frissített alternatív megvalósításával.
- Gyorsított indítás több szál használatával a szabálycsoportok fordításához;
- Új regisztrációs mechanizmust adott hozzá.
- Felkerült az RNA (Real-time Network Awareness) ellenőrzési rendszer, amely információkat gyűjt a hálózaton elérhető erőforrásokról, gazdagépekről, alkalmazásokról és szolgáltatásokról.
forrás: https://blog.snort.org