Beberapa bulan yang lalu kami berbagi di sini di blog berita perilisan versi beta Snort 3 y Baru beberapa hari yang lalu sudah ada versi RC untuk cabang aplikasi baru ini.
Sejak Cisco mengumumkan pembentukan kandidat peluncuran sistem pencegahan serangan Mendengus 3 (juga dikenal sebagai proyek Snort ++), yang telah bekerja dan dimatikan sejak 2005. Versi stabil dijadwalkan akan dirilis dalam waktu satu bulan.
Snort 3 telah sepenuhnya memikirkan kembali konsep produk dan mendesain ulang arsitekturnya. Di antara area utama pengembangan Snort 3: menyederhanakan konfigurasi dan peluncuran Snort, mengotomatiskan konfigurasi, menyederhanakan bahasa pembuatan aturan, secara otomatis mendeteksi semua protokol, menyediakan shell untuk kontrol baris perintah, penggunaan aktif
Snort memiliki database serangan yang terus diperbarui melalui internet. Pengguna dapat membuat tanda tangan berdasarkan karakteristik serangan jaringan baru dan mengirimkannya ke milis tanda tangan Snort, etika komunitas dan berbagi ini telah menjadikan Snort salah satu IDS berbasis jaringan yang paling populer, terkini dan terpopuler. Multi-utas yang kuat dengan akses bersama dari pengontrol berbeda ke satu konfigurasi.
Perubahan apa yang ada di CR?
Transisi ke sistem konfigurasi baru telah dilakukan, yang menawarkan sintaks yang disederhanakan dan memungkinkan penggunaan skrip untuk menghasilkan konfigurasi secara dinamis. LuaJIT digunakan untuk memproses file konfigurasi. Plugin berbasis LuaJIT memiliki opsi tambahan untuk aturan dan sistem registrasi.
Mesin telah dimodernisasi untuk mendeteksi serangan, aturan telah diperbarui, kemampuan untuk mengikat buffer dalam aturan (buffer lengket) telah ditambahkan. Mesin pencari Hyperscan telah digunakan, yang memungkinkan penggunaan pola yang dipicu dengan cepat dan akurat berdasarkan ekspresi reguler dalam aturan.
Ditambahkan mode introspeksi baru untuk HTTP yang merupakan session stateful dan mencakup 99% skenario yang didukung oleh rangkaian pengujian HTTP Evader. Menambahkan sistem inspeksi untuk lalu lintas HTTP / 2.
Performa mode inspeksi paket dalam telah ditingkatkan secara signifikan. Kemampuan pemrosesan paket multi-utas telah ditambahkan, memungkinkan eksekusi beberapa utas secara bersamaan dengan penangan paket dan menyediakan skalabilitas linier berdasarkan jumlah inti CPU.
Penyimpanan umum dari tabel konfigurasi dan atribut telah diterapkan, yang digunakan bersama dalam subsistem yang berbeda, yang secara signifikan telah mengurangi konsumsi memori dengan menghilangkan duplikasi informasi.
Sistem log peristiwa baru yang menggunakan format JSON dan mudah diintegrasikan dengan platform eksternal seperti Elastic Stack.
Transisi ke arsitektur modular, kemampuan untuk memperluas fungsionalitas melalui koneksi plug-in dan implementasi subsistem utama dalam bentuk plug-in yang dapat diganti. Saat sekarang, beberapa ratus plugin sudah diimplementasikan untuk Snort 3, Mereka mencakup berbagai area aplikasi, misalnya memungkinkan Anda menambahkan codec Anda sendiri, mode introspeksi, metode pendaftaran, tindakan, dan opsi dalam aturan.
Dari perubahan lain yang menonjol:
- Deteksi otomatis layanan yang berjalan, menghilangkan kebutuhan untuk menentukan port jaringan aktif secara manual.
- Menambahkan dukungan file untuk mengganti pengaturan relatif dengan pengaturan default dengan cepat. Penggunaan snort_config.lua dan SNORT_LUA_PATH telah dihentikan untuk menyederhanakan konfigurasi. Menambahkan dukungan untuk memuat ulang pengaturan dengan cepat;
- Kode menyediakan kemampuan untuk menggunakan konstruksi C ++ yang ditentukan dalam standar C ++ 14 (rakitan memerlukan kompiler yang mendukung C ++ 14).
- Pengontrol VXLAN baru telah ditambahkan.
- Pencarian yang lebih baik untuk tipe konten berdasarkan konten menggunakan implementasi alternatif yang diperbarui dari algoritma Boyer-Moore dan Hyperscan.
- Peluncuran dipercepat dengan menggunakan beberapa utas untuk menyusun grup aturan;
- Menambahkan mekanisme pendaftaran baru.
- Sistem pemeriksaan RNA (Real-time Network Awareness) telah ditambahkan, yang mengumpulkan informasi tentang sumber daya, host, aplikasi, dan layanan yang tersedia di jaringan.
sumber: https://blog.snort.org