Кілька місяців тому ми поділились тут у своєму блозі новина про вихід бета-версії Snort 3 y Лише кілька днів тому вже існувала версія RC для цієї нової гілки програми.
З Cisco оголосила про формування кандидата на старт для система запобігання атакам Хроп 3 (також відомий як проект Snort ++), який працює і вимикається з 2005 року. Стабільну версію планується випустити протягом місяця.
Snort 3 повністю переосмислив концепцію продукту та переробив архітектуру. Серед ключових областей розробки Snort 3: спрощення конфігурації та запуск Snort, автоматизація конфігурації, спрощення мови створення правил, автоматичне виявлення всіх протоколів, надання оболонки для управління командним рядком, використання активного
У Snort є база даних атак, яка постійно оновлюється через Інтернет. Користувачі можуть створювати підписи на основі характеристик нових мережевих атак і надсилати їх до списку розсилки підписів Snort; ця етика спільноти та спільного використання зробила Snort однією з найпопулярніших, сучасних та найпопулярніших мережевих IDS. багатопотокові зі спільним доступом різних контролерів до однієї конфігурації.
Які зміни відбуваються в CR?
Здійснено перехід до нової системи конфігурації, який пропонує спрощений синтаксис та дозволяє використовувати скрипти для динамічного створення конфігурацій. LuaJIT використовується для обробки конфігураційних файлів. Плагіни на основі LuaJIT мають додаткові опції для правил та системи реєстрації.
Двигун модернізований для виявлення атак, правила оновлено, додана можливість прив’язки буферів до правил (липкі буфери). Була використана пошукова система Hyperscan, яка дозволила швидко і точно використовувати ініційовані шаблони на основі регулярних виразів у правилах.
Додано новий режим самоаналізу для HTTP який має статус сеансу та охоплює 99% сценаріїв, підтримуваних набором тестів HTTP Evader Додана система перевірки трафіку HTTP / 2.
Покращено ефективність режиму глибокої перевірки пакетів суттєво. Додана можливість багатопотокової обробки пакетів, що забезпечує одночасне виконання декількох потоків за допомогою обробників пакетів та забезпечує лінійну масштабованість на основі кількості ядер ЦП.
Реалізовано загальне сховище таблиць конфігурації та атрибутів, яке спільно використовується в різних підсистемах, що значно зменшило споживання пам'яті за рахунок усунення дублювання інформації.
Нова система журналу подій, яка використовує формат JSON і легко інтегрується із зовнішніми платформами, такими як Elastic Stack.
Перехід до модульної архітектури, можливість розширення функціональних можливостей за допомогою плагін-з'єднання та реалізація ключових підсистем у вигляді змінних плагінів. Наразі, кілька сотень плагінів вже реалізовані для Snort 3, Вони охоплюють різні сфери застосування, наприклад, дозволяючи додавати власні кодеки, режими самоаналізу, способи реєстрації, дії та параметри в правилах.
З інших змін, які виділяються:
- Автоматичне виявлення запущених служб, усуваючи необхідність вручну вказувати активні мережеві порти.
- Додана підтримка файлів для швидкого заміщення налаштувань щодо налаштувань за замовчуванням. Використання snort_config.lua та SNORT_LUA_PATH припинено для спрощення конфігурації. Додана підтримка перезавантаження налаштувань на льоту;
- Код надає можливість використовувати конструкції C ++, визначені стандартом C ++ 14 (для збірки потрібен компілятор, що підтримує C ++ 14).
- Додано новий контролер VXLAN.
- Покращений пошук типів вмісту за вмістом за допомогою оновлених альтернативних реалізацій алгоритмів Боєра-Мура та Гіперскана.
- Прискорений запуск за допомогою декількох потоків для компіляції груп правил;
- Додано новий механізм реєстрації.
- Додана система перевірки RNA (Real-time Network Awareness), яка збирає інформацію про ресурси, хости, програми та послуги, доступні в мережі.
Фуенте: https://blog.snort.org