Несколько месяцев назад мы поделились здесь в блоге новость о выходе бета-версии Snort 3 y всего несколько дней назад уже была версия RC для этой новой ветки приложения.
в качестве Cisco объявила о формировании кандидата на запуск система предотвращения атак Фырканье 3 (также известный как проект Snort ++), который постоянно работает с 2005 года. Стабильная версия должна быть выпущена в течение месяца.
Snort 3 полностью переосмыслил концепцию продукта и изменил архитектуру.. Среди ключевых направлений разработки Snort 3: упрощение настройки и запуска Snort, автоматизация настройки, упрощение языка создания правил, автоматическое определение всех протоколов, предоставление оболочки для управления из командной строки, использование активный
Snort имеет базу данных атак, которая постоянно обновляется через Интернет.. Пользователи могут создавать сигнатуры на основе характеристик новых сетевых атак и отправлять их в список рассылки сигнатур Snort. Этика сообщества и совместного использования сделала Snort одной из самых популярных, современных и самых популярных сетевых IDS. Надежная многопоточность с общим доступом разных контроллеров к одной конфигурации.
Какие изменения есть в ЧР?
Произведен переход на новую систему конфигурации., который предлагает упрощенный синтаксис и позволяет использовать скрипты для динамического создания конфигураций. LuaJIT используется для обработки файлов конфигурации. Плагины на основе LuaJIT имеют дополнительные параметры для правил и системы регистрации.
Движок модернизирован для обнаружения атак, обновлены правила, добавлена возможность привязки буферов в правилах (sticky buffers). Использовалась поисковая система Hyperscan, которая позволила быстро и точно использовать срабатывающие шаблоны на основе регулярных выражений в правилах.
Добавлено новый режим интроспекции для HTTP который отслеживает состояние сеанса и охватывает 99% сценариев, поддерживаемых набором тестов HTTP Evader. Добавлена система проверки HTTP / 2 трафика.
Улучшена производительность режима глубокой проверки пакетов. значительно. Добавлена возможность многопоточной обработки пакетов, позволяющая одновременно выполнять несколько потоков с обработчиками пакетов и обеспечивать линейную масштабируемость в зависимости от количества ядер ЦП.
Реализовано общее хранилище таблиц конфигурации и атрибутов, которое используется в разных подсистемах, что значительно снизило потребление памяти за счет исключения дублирования информации.
Новая система журнала событий, которая использует формат JSON и легко интегрируется с внешними платформами, такими как Elastic Stack.
Переход на модульную архитектуру, возможность расширения функциональности за счет подключения плагинов и реализации ключевых подсистем в виде заменяемых плагинов. В настоящий момент, для Snort 3 уже реализовано несколько сотен плагинов, которые охватывают различные области приложения, например, позволяя вам добавлять свои собственные кодеки, режимы самоанализа, методы регистрации, действия и параметры в правилах.
Из других изменений, которые выделяются:
- Автоматическое определение запущенных служб, устраняющее необходимость вручную указывать активные сетевые порты.
- Добавлена поддержка файлов для быстрого изменения настроек относительно настроек по умолчанию. Использование snort_config.lua и SNORT_LUA_PATH было прекращено для упрощения настройки. Добавлена поддержка перезагрузки настроек на лету;
- Код предоставляет возможность использовать конструкции C ++, определенные в стандарте C ++ 14 (для сборки требуется компилятор, поддерживающий C ++ 14).
- Добавлен новый контроллер VXLAN.
- Улучшен поиск типов контента по контенту с использованием обновленных альтернативных реализаций алгоритмов Бойера-Мура и Hyperscan.
- Ускоренный запуск за счет использования нескольких потоков для компиляции групп правил;
- Добавлен новый механизм регистрации.
- Была добавлена система проверки RNA (Real-time Network Awareness), которая собирает информацию о ресурсах, хостах, приложениях и сервисах, доступных в сети.
источник: https://blog.snort.org