Dumating ang snort 3 na may kabuuang disenyo ng disenyo at ang balitang ito

Darkcrizt

4 Minutos

Pagkatapos ng pitong taong pag-unlad, Inilabas ng Cisco ang unang matatag na paglabas ng sistema ng pag-iwas sa pag-atake Snort 3 na ganap na muling idisenyo, bilang karagdagan sa pagpapasimple ng pagsasaayos at paglulunsad ng Snort, pati na rin ang posibilidad na i-automate ang pagsasaayos, gawing simple ang wika ng pagpapasiya, awtomatikong makita ang lahat ng mga protokol, magbigay ng a shell para sa kontrol ng linya ng utos, aktibong multi-threading na may nakabahaging pag-access ng iba't ibang mga Controller sa isang solong pagsasaayos at higit pa.

Para sa mga walang kamalayan sa Snort, dapat ninyong malaman iyon maaaring pag-aralan ang trapiko sa real time, tumugon sa nakitang nakakahamak na aktibidad at mapanatili ang isang detalyadong log ng pakete para sa pagtatasa ng insidente sa paglaon.

Ang sangay ng Snort 3, na kilala rin bilang proyekto ng Snort ++, ay ganap na naisip ang konsepto at arkitektura ng kanilang produkto.

Ang pagtatrabaho sa Snort 3 ay nagsimula noong 2005 ngunit hindi nagtagal ay inabandona at nagpatuloy lamang noong 2013 matapos na sakupin ng Cisco ang proyekto.

Ngumuso ng 3 pangunahing balita

Sa bagong bersyon ng Ang Snort 3 ay inilipat sa isang bagong sistema ng pag-setup, na nag-aalok ng isang pinasimple na syntax at nagbibigay-daan sa paggamit ng mga script upang palaguin makabuo ng mga pagsasaayos. Ginagamit ang LuaJIT upang maproseso ang mga file ng pagsasaayos, at ang mga plugin na batay sa LuaJIT ay may karagdagang mga pagpipilian para sa mga patakaran at isang sistema ng pagpapatala.

Ang isa pang pagbabago na namumukod-tangi ay iyon ang makina ay binago upang makita ang mga pag-atake, ang mga patakaran ay na-update, ang kakayahang magbigkis ng mga buffer ay naidagdag sa mga patakaran (malagkit na buffer) at ang Hyperscan search engine ay ginamit din, na naging posible upang magamit nang mas mabilis ang mga na-trigger na pattern at mas tiyak na batay sa mga regular na expression sa mga panuntunan;

Gayundin, sa Snort 3 nagdagdag ng isang bagong mode ng pagsisiyasat para sa HTTP na kung saan ay naka-state session at sumasaklaw sa 99% ng mga scenario na suportado ng HTTP Evader test suite, kasama ang idinagdag na inspeksyon system para sa trapiko ng HTTP / 2.

Ang pagganap ng deep mode ng inspeksyon ng packet ay napabuti. Ang kakayahan sa pagproseso ng multithreaded packet ay naidagdag, na pinapayagan ang sabay-sabay na pagpapatupad ng maraming mga thread na may mga handler ng packet at pagbibigay ng linear scalability batay sa bilang ng mga core ng CPU.

Ang isang karaniwang imbakan ng mga talahanayan ng pagsasaayos ay naipatupad at mga katangian, na ibinabahagi sa iba't ibang mga subsystem, na makabuluhang nabawasan ang pagkonsumo ng memorya sa pamamagitan ng pag-aalis ng pagdoble ng impormasyon.

Bukod dito, din ang paglipat sa isang modular na arkitektura ay naka-highlight, ang kakayahang pahabain ang pagpapaandar sa pamamagitan ng koneksyon sa plug-in at pagpapatupad ng mga pangunahing subsystem sa anyo ng mga kapalit na plug-in.

Kasalukuyang mayroong higit sa 200 mga plugin para sa Snort 3, na sumasaklaw sa iba't ibang mga paggamit, tulad ng pagpapahintulot sa iyo na magdagdag ng iyong sariling mga codec, mode ng pagsisiyasat, pamamaraan ng pagrehistro, pagkilos, at mga pagpipilian sa mga patakaran.

Sa iba pang mga pagbabago na naiiba mula sa bagong bersyon:

  • Nagdagdag ng suporta sa file upang mabilis na i-override ang mga setting na nauugnay sa mga default na setting.
  • Ang paggamit ng snort_config.lua at SNORT_LUA_PATH ay hindi na ipinagpatuloy upang gawing simple ang pagsasaayos.
  • Nagdagdag ng suporta para sa pag-reload ng mga setting nang mabilis.
  • Ang bagong system ng log ng kaganapan na gumagamit ng format na JSON at madaling isinasama sa mga panlabas na platform tulad ng Elastic Stack.
  • Awtomatikong pagtuklas ng pagpapatakbo ng mga serbisyo, inaalis ang pangangailangan upang manu-manong tukuyin ang mga aktibong network port.
  • Nagbibigay ang code ng kakayahang gamitin ang mga C ++ construct na tinukoy sa pamantayan ng C ++ 14 (ang pagpupulong ay nangangailangan ng isang tagatala na sumusuporta sa C ++ 14).
  • Ang isang bagong VXLAN controller ay naidagdag.
  • Pinahusay na paghahanap ng mga uri ng nilalaman sa pamamagitan ng nilalaman na gumagamit ng na-update na kahaliling pagpapatupad ng mga Boyer-Moore at Hyperscan algorithm.
  • Pinabilis ang paglunsad sa pamamagitan ng paggamit ng maraming mga thread upang mag-ipon ng mga pangkat ng panuntunan;
  • Nagdagdag ng isang bagong mekanismo sa pagpaparehistro.
  • Ang RNA (Real-time Network Awcious) na inspeksyon na sistema ay naidagdag, na nangongolekta ng impormasyon tungkol sa mga mapagkukunan, host, application at serbisyo na magagamit sa network.

Sa wakas kung nais mong malaman ang tungkol dito tungkol sa bagong bersyon, maaari mong suriin ang mga detalye sa sumusunod na link.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.