หลังจากเจ็ดปีของการพัฒนา Cisco ได้เปิดตัวรุ่นแรกที่เสถียร ของระบบป้องกันการโจมตี Snort 3 ซึ่งได้รับการออกแบบใหม่ทั้งหมดนอกเหนือจากการลดความซับซ้อนของการกำหนดค่าและการเปิดใช้ Snort รวมถึงไฟล์ ความเป็นไปได้ในการกำหนดค่าอัตโนมัติ ลดความซับซ้อนของภาษาการสร้างกฎตรวจจับโปรโตคอลทั้งหมดโดยอัตโนมัติให้ a เชลล์สำหรับการควบคุมบรรทัดคำสั่ง มัลติเธรดที่ใช้งานอยู่พร้อมการเข้าถึงร่วมกันของคอนโทรลเลอร์ที่แตกต่างกันไปยังการกำหนดค่าเดียวและอื่น ๆ
สำหรับผู้ที่ไม่รู้ Snort คุณควรรู้ไว้ สามารถวิเคราะห์การจราจรแบบเรียลไทม์ตอบสนองต่อกิจกรรมที่เป็นอันตรายที่ตรวจพบ และเก็บรักษาบันทึกแพ็คเกจโดยละเอียดสำหรับการวิเคราะห์เหตุการณ์ในภายหลัง
สาขา Snort 3 หรือที่เรียกว่าโครงการ Snort ++ ได้ปรับแนวคิดและสถาปัตยกรรมของผลิตภัณฑ์ใหม่ทั้งหมด
การทำงานบน Snort 3 เริ่มต้นในปี 2005 แต่ไม่นานก็ถูกละทิ้งและกลับมาดำเนินการต่อในปี 2013 หลังจากที่ซิสโก้เข้ารับช่วงโครงการ
Snort 3 ข่าวหลัก
ในเวอร์ชันใหม่ของ Snort 3 ได้รับการเปลี่ยนไปใช้ระบบการตั้งค่าใหม่ ซึ่งนำเสนอไวยากรณ์ที่เรียบง่ายและเปิดใช้งานการใช้สคริปต์เพื่อสร้างการกำหนดค่าแบบไดนามิก LuaJIT ใช้เพื่อประมวลผลไฟล์คอนฟิกูเรชันและปลั๊กอินที่ใช้ LuaJIT มีตัวเลือกเพิ่มเติมสำหรับกฎและระบบรีจิสทรี
การเปลี่ยนแปลงที่โดดเด่นอีกประการหนึ่งก็คือ เครื่องยนต์ได้รับการปรับปรุงให้ทันสมัยเพื่อตรวจจับการโจมตี ปรับปรุงกฎแล้ว เพิ่มความสามารถในการผูกบัฟเฟอร์ ในกฎ (บัฟเฟอร์เหนียว) และยังใช้เครื่องมือค้นหา Hyperscan ซึ่งทำให้สามารถใช้รูปแบบที่ถูกเรียกได้เร็วขึ้นและแม่นยำขึ้นตามนิพจน์ทั่วไปในกฎ
นอกจากนี้ใน Snort 3 เพิ่มโหมดวิปัสสนาใหม่สำหรับ HTTP ซึ่งเป็นเซสชัน stateful และครอบคลุม 99% ของสถานการณ์ที่สนับสนุนโดยชุดทดสอบ HTTP Evader รวมทั้งระบบตรวจสอบที่เพิ่มเข้ามาสำหรับการรับส่งข้อมูล HTTP / 2
ประสิทธิภาพของโหมดการตรวจสอบแพ็คเก็ตแบบลึกได้รับการปรับปรุงอย่างมีนัยสำคัญ เพิ่มความสามารถในการประมวลผลแพ็คเก็ตแบบมัลติเธรดซึ่งช่วยให้สามารถดำเนินการหลายเธรดพร้อมกันด้วยตัวจัดการแพ็กเก็ตและให้ความสามารถในการปรับขนาดเชิงเส้นตามจำนวนแกน CPU
มีการใช้ที่เก็บข้อมูลทั่วไปของตารางการกำหนดค่า และแอตทริบิวต์ซึ่งใช้ร่วมกันในระบบย่อยที่แตกต่างกันซึ่งช่วยลดการใช้หน่วยความจำลงอย่างมากโดยการกำจัดข้อมูลซ้ำซ้อน
นอกจากนี้ยัง การเปลี่ยนไปใช้สถาปัตยกรรมโมดูลาร์จะถูกเน้นความสามารถในการขยายฟังก์ชันการทำงานผ่านการเชื่อมต่อปลั๊กอินและการใช้งานระบบย่อยที่สำคัญในรูปแบบของปลั๊กอินที่เปลี่ยนได้
ปัจจุบันมีปลั๊กอินมากกว่า 200 รายการสำหรับ Snort 3 ซึ่งครอบคลุมการใช้งานที่หลากหลายเช่นช่วยให้คุณสามารถเพิ่มตัวแปลงสัญญาณโหมดวิปัสสนาวิธีการลงทะเบียนการกระทำและตัวเลือกต่างๆในกฎ
การเปลี่ยนแปลงอื่น ๆ ที่โดดเด่นจากเวอร์ชันใหม่:
- เพิ่มการรองรับไฟล์เพื่อลบล้างการตั้งค่าอย่างรวดเร็วเมื่อเทียบกับการตั้งค่าเริ่มต้น
- การใช้ snort_config.lua และ SNORT_LUA_PATH ถูกยกเลิกเพื่อลดความซับซ้อนของการกำหนดค่า
- เพิ่มการรองรับสำหรับการตั้งค่าการโหลดซ้ำได้ทันที
- ระบบบันทึกเหตุการณ์ใหม่ที่ใช้รูปแบบ JSON และรวมเข้ากับแพลตฟอร์มภายนอกเช่น Elastic Stack ได้อย่างง่ายดาย
- ตรวจจับบริการที่กำลังทำงานโดยอัตโนมัติไม่จำเป็นต้องระบุพอร์ตเครือข่ายที่ใช้งานด้วยตนเอง
- โค้ดนี้ให้ความสามารถในการใช้โครงสร้าง C ++ ที่กำหนดไว้ในมาตรฐาน C ++ 14 (แอสเซมบลีต้องการคอมไพเลอร์ที่รองรับ C ++ 14)
- เพิ่มคอนโทรลเลอร์ VXLAN ใหม่
- ปรับปรุงการค้นหาประเภทเนื้อหาตามเนื้อหาโดยใช้การปรับปรุงทางเลือกของอัลกอริทึม Boyer-Moore และ Hyperscan
- การเผยแพร่แบบเร่งโดยใช้หลายเธรดเพื่อรวบรวมกลุ่มกฎ
- เพิ่มกลไกการลงทะเบียนใหม่
- เพิ่มระบบการตรวจสอบ RNA (Real-time Network Awareness) ซึ่งรวบรวมข้อมูลเกี่ยวกับทรัพยากรโฮสต์แอปพลิเคชันและบริการที่มีอยู่บนเครือข่าย
ในที่สุด หากคุณต้องการทราบข้อมูลเพิ่มเติม เกี่ยวกับเวอร์ชันใหม่คุณสามารถตรวจสอบได้ รายละเอียดตามลิงค์ต่อไปนี้