Prieš keletą mėnesių mes pasidalinome čia tinklaraštyje žinia apie „Snort 3“ beta versijos išleidimą y Tik prieš kelias dienas mes jau turėjome RC versiją šiai naujai programos atšakai.
Nuo „Cisco“ paskelbė apie kandidato į leidimą formavimą atakų prevencijos sistema Šniurkšti 3 (taip pat žinomas kaip Snort++ projektas), prie kurio su pertraukomis buvo dirbama nuo 2005 m. Stabilią versiją planuojama išleisti per mėnesį.
„Snort 3“ visiškai pergalvojo produkto koncepciją ir perkūrė architektūrą. Tarp pagrindinių „Snort 3“ kūrimo sričių: supaprastinkite „Snort“ konfigūravimą ir paleidimą, automatizuokite konfigūraciją, supaprastinkite taisyklių kūrimo kalbą, automatiškai aptikkite visus protokolus, suteikite apvalkalą komandų eilutės valdymui, naudokite išteklius.
Snort turi atakų duomenų bazę, kuri nuolat atnaujinama internetu. Vartotojai gali kurti parašus pagal naujų tinklo atakų ypatybes ir pateikti juos „Snort“ parašų adresų sąrašui. Dėl šios bendruomenės ir dalijimosi etoso „Snort“ tapo viena populiariausių, naujausių ir patikimiausių kelių gijų su bendra prieiga. skirtingų valdiklių į vieną konfigūraciją.
Kokie pokyčiai vyksta CR?
Pereita prie naujos konfigūracijos sistemos, kuri siūlo supaprastintą sintaksę ir leidžia naudoti scenarijus dinamiškai generuoti konfigūracijas. LuaJIT naudojamas konfigūracijos failams apdoroti. LuaJIT pagrindu sukurti papildiniai turi papildomų taisyklių ir registravimo sistemos parinkčių.
Variklis buvo modernizuotas, kad būtų galima aptikti atakas, taisyklės buvo atnaujintos, pridėta galimybė taisyklėse susieti buferius (lipnius buferius). Buvo panaudota paieškos sistema „Hyperscan“, kuri leido greitai ir tiksliai panaudoti aktyvuotus šablonus, pagrįstus taisyklėse esančiomis reguliariosiomis išraiškomis.
Pridėta naujas HTTP savianalizės režimas kuri turi seanso būseną ir apima 99 % situacijų, palaikomų HTTP Evader testų rinkinio. Pridėta HTTP/2 srauto tikrinimo sistema.
Patobulintas gilaus paketų tikrinimo režimo veikimas gerokai. Pridėta kelių gijų paketų apdorojimo galimybė, leidžianti vienu metu vykdyti kelias gijas naudojant paketų tvarkykles ir linijinį mastelį, pagrįstą procesoriaus branduolių skaičiumi.
Įdiegta bendra konfigūracijos ir atributų lentelių saugykla, kuri yra dalijama skirtinguose posistemiuose, o tai leido žymiai sumažinti atminties sąnaudas, pašalinant informacijos dubliavimą.
Nauja įvykių registravimo sistema, kuri naudoja JSON formatą ir lengvai integruojama su išorinėmis platformomis, tokiomis kaip Elastic Stack.
Perėjimas prie modulinės architektūros, galimybė išplėsti funkcionalumą jungiant papildinius ir įgyvendinant pagrindinius posistemius keičiamų įskiepių pavidalu. Šiuo metu, „Snort 3“ jau įdiegti keli šimtai papildinių, apimantis kelias taikymo sritis, pavyzdžiui, leidžiantis taisyklėse pridėti savo kodekus, savianalizės režimus, registracijos metodus, veiksmus ir parinktis.
Iš kitų išsiskiriančių pakeitimų:
- Automatinis veikiančių paslaugų aptikimas, todėl nebereikia rankiniu būdu nurodyti aktyvių tinklo prievadų.
- Pridėtas failų palaikymas, kad būtų galima greitai pakeisti numatytuosius nustatymus. Snort_config.lua ir SNORT_LUA_PATH naudojimas buvo nutrauktas siekiant supaprastinti konfigūraciją. Pridėtas palaikymas nustatymų perkrovimui skrendant;
- Kodas suteikia galimybę naudoti C++ konstrukcijas, apibrėžtas C++ 14 standarte (surinkimui reikalingas kompiliatorius, palaikantis C++ 14).
- Pridėta nauja VXLAN tvarkyklė.
- Patobulinta turinio tipų paieška pagal turinį, naudojant atnaujintus alternatyvius Boyer-Moore ir Hyperscan algoritmus.
- Pagreitintas leidimas naudojant kelias gijas taisyklių grupėms sudaryti;
- Pridėtas naujas registracijos mechanizmas.
- Pridėta RNA (Real-time Network Awareness) tikrinimo sistema, kuri renka informaciją apie tinkle esančius išteklius, pagrindinius kompiuterius, programas ir paslaugas.
Fuente: https://blog.snort.org