Birkaç ay önce burada blogda paylaştık Snort 3'ün beta sürümünün çıkış haberi y Sadece birkaç gün önceydi, zaten bir RC sürümü vardı uygulamanın bu yeni dalı için.
olarak Cisco için bir lansman adayı oluşturulduğunu duyurdu saldırı önleme sistemi 3 Snort (Snort ++ projesi olarak da bilinir), 2005'ten beri üzerinde çalışmakta ve çalışmaktadır. Kararlı sürümün bir ay içinde piyasaya sürülmesi planlanmaktadır.
Snort 3, ürün konseptini tamamen yeniden düşündü ve mimariyi yeniden tasarladı. Snort 3'ün temel geliştirme alanları arasında: Snort'un yapılandırmasını ve başlatılmasını basitleştirmek, yapılandırmayı otomatikleştirmek, kural oluşturma dilini basitleştirmek, tüm protokolleri otomatik olarak algılamak, komut satırı kontrolü için bir kabuk sağlamak, kullanım aktif
Snort, internet üzerinden sürekli güncellenen bir saldırı veritabanına sahiptir.. Kullanıcılar, yeni ağ saldırılarının özelliklerine göre imzalar oluşturabilir ve bunları Snort'un imza posta listesine gönderebilir, bu topluluk ve paylaşım etiği Snort'u en popüler, en güncel ve en popüler ağ tabanlı IDS'lerden biri haline getirmiştir. Farklı denetleyicilerin tek bir konfigürasyona paylaşımlı erişimiyle sağlam çok iş parçacıklı.
Hazır Yanıt'da ne gibi değişiklikler var?
Yeni bir konfigürasyon sistemine geçiş yapıldı, basitleştirilmiş bir sözdizimi sunan ve komut dosyalarının dinamik olarak yapılandırmalar oluşturmasına izin verir. LuaJIT, yapılandırma dosyalarını işlemek için kullanılır. LuaJIT tabanlı eklentiler, kurallar ve bir kayıt sistemi için ek seçeneklere sahiptir.
Saldırıları tespit etmek için motor modernize edildi, kurallar güncellendi, kurallara tamponları bağlama yeteneği (yapışkan tamponlar) eklendi. Kurallardaki normal ifadelere dayalı olarak tetiklenen kalıpların hızlı ve doğru bir şekilde kullanılmasını mümkün kılan Hyperscan arama motoru kullanılmıştır.
Katma HTTP için yeni bir iç gözlem modu oturum durum bilgisi olan ve HTTP Evader test paketi tarafından desteklenen senaryoların% 99'unu kapsar. HTTP / 2 trafiği için denetim sistemi eklendi.
Derin paket inceleme modunun performansı iyileştirildi önemli ölçüde. Paket işleyiciler ile birden çok iş parçacığının eşzamanlı olarak yürütülmesini sağlayan ve CPU çekirdek sayısına bağlı olarak doğrusal ölçeklenebilirlik sağlayan çok iş parçacıklı paket işleme özelliği eklendi.
Farklı alt sistemlerde paylaşılan ve bilgilerin tekrarlanmasını ortadan kaldırarak bellek tüketimini önemli ölçüde azaltan ortak bir yapılandırma ve öznitelik tabloları deposu uygulanmıştır.
JSON formatını kullanan ve Elastic Stack gibi harici platformlarla kolayca entegre olan yeni olay günlüğü sistemi.
Modüler bir mimariye geçiş, işlevselliği eklenti bağlantısı ve değiştirilebilir eklentiler biçiminde anahtar alt sistemlerin uygulanması yoluyla genişletme yeteneği. Şu anda, Snort 3 için birkaç yüz eklenti zaten uygulanmıştır, Örneğin kendi kodeklerinizi, iç gözlem modlarınızı, kayıt yöntemlerinizi, eylemlerinizi ve seçeneklerinizi kurallara eklemenize izin veren çeşitli uygulama alanlarını kapsar.
Öne çıkan diğer değişikliklerden:
- Çalışan hizmetlerin otomatik olarak algılanması, etkin ağ bağlantı noktalarını manuel olarak belirtme ihtiyacını ortadan kaldırır.
- Varsayılan ayarlara göre ayarları hızla geçersiz kılmak için dosya desteği eklendi. Yapılandırmayı basitleştirmek için snort_config.lua ve SNORT_LUA_PATH kullanımı durduruldu. Anında yeniden yükleme ayarları için destek eklendi;
- Kod, C ++ 14 standardında tanımlanan C ++ yapılarını kullanma yeteneği sağlar (derleme, C ++ 14'ü destekleyen bir derleyici gerektirir).
- Yeni bir VXLAN denetleyici eklendi.
- Boyer-Moore ve Hyperscan algoritmalarının güncellenmiş alternatif uygulamaları kullanılarak içeriğe göre geliştirilmiş içerik araması.
- Kural gruplarını derlemek için birden çok iş parçacığı kullanarak hızlandırılmış başlatma;
- Yeni bir kayıt mekanizması eklendi.
- Ağda bulunan kaynaklar, ana bilgisayarlar, uygulamalar ve hizmetler hakkında bilgi toplayan RNA (Gerçek Zamanlı Ağ Farkındalığı) denetim sistemi eklendi.
kaynak: https://blog.snort.org