Vài tháng trước, chúng tôi đã chia sẻ ở đây trên blog tin tức về việc phát hành phiên bản beta của Snort 3 y chỉ cách đây vài ngày đã có phiên bản RC cho nhánh mới này của ứng dụng.
Kể từ khi Cisco đã thông báo về việc hình thành một ứng cử viên ra mắt cho hệ thống phòng chống tấn công Khịt mũi 3 (hay còn gọi là dự án Snort ++), đã hoạt động liên tục từ năm 2005. Phiên bản ổn định dự kiến sẽ được phát hành trong vòng một tháng.
Snort 3 đã hoàn toàn suy nghĩ lại khái niệm sản phẩm và thiết kế lại kiến trúc. Trong số các lĩnh vực phát triển chính của Snort 3: đơn giản hóa cấu hình và khởi chạy Snort, tự động hóa cấu hình, đơn giản hóa ngôn ngữ tạo quy tắc, tự động phát hiện tất cả các giao thức, cung cấp trình bao để kiểm soát dòng lệnh, sử dụng hoạt động
Snort có một cơ sở dữ liệu về các cuộc tấn công được cập nhật liên tục thông qua internet. Người dùng có thể tạo chữ ký dựa trên đặc điểm của các cuộc tấn công mạng mới và gửi chúng vào danh sách gửi thư chữ ký của Snort, đạo đức cộng đồng và chia sẻ này đã khiến Snort trở thành một trong những IDS dựa trên mạng phổ biến nhất, cập nhật và phổ biến nhất. Đa luồng mạnh mẽ với quyền truy cập được chia sẻ của các bộ điều khiển khác nhau vào một cấu hình duy nhất.
Những thay đổi nào trong CR?
Quá trình chuyển đổi sang hệ thống cấu hình mới đã được thực hiện, cung cấp một cú pháp đơn giản và cho phép sử dụng tập lệnh để tạo cấu hình động. LuaJIT được sử dụng để xử lý các tệp cấu hình. Các plugin dựa trên LuaJIT có các tùy chọn bổ sung cho các quy tắc và hệ thống đăng ký.
Công cụ đã được hiện đại hóa để phát hiện các cuộc tấn công, các quy tắc đã được cập nhật, khả năng liên kết bộ đệm trong quy tắc (bộ đệm dính) đã được thêm vào. Công cụ tìm kiếm Hyperscan đã được sử dụng, giúp sử dụng nhanh chóng và chính xác các mẫu được kích hoạt dựa trên các cụm từ thông dụng trong các quy tắc.
Thêm một chế độ xem xét nội quan mới cho HTTP là trạng thái phiên và bao gồm 99% các tình huống được hỗ trợ bởi bộ thử nghiệm HTTP Evader. Đã thêm hệ thống kiểm tra cho lưu lượng HTTP / 2.
Hiệu suất của chế độ kiểm tra gói sâu đã được cải thiện đáng kể. Khả năng xử lý gói đa luồng đã được thêm vào, cho phép thực hiện đồng thời nhiều luồng với trình xử lý gói và cung cấp khả năng mở rộng tuyến tính dựa trên số lượng lõi CPU.
Việc lưu trữ chung các bảng cấu hình và thuộc tính đã được thực hiện, được chia sẻ trong các hệ thống con khác nhau, điều này giúp giảm đáng kể mức tiêu thụ bộ nhớ bằng cách loại bỏ thông tin trùng lặp.
Hệ thống nhật ký sự kiện mới sử dụng định dạng JSON và dễ dàng tích hợp với các nền tảng bên ngoài như Elastic Stack.
Chuyển đổi sang kiến trúc mô-đun, khả năng mở rộng chức năng thông qua kết nối trình cắm thêm và triển khai các hệ thống con quan trọng dưới dạng các trình cắm thêm có thể thay thế. Hiện tại, hàng trăm plugin đã được triển khai cho Snort 3, bao gồm các lĩnh vực ứng dụng khác nhau, chẳng hạn như cho phép bạn thêm codec của riêng mình, chế độ xem xét nội quan, phương pháp đăng ký, hành động và tùy chọn trong quy tắc.
Trong số những thay đổi khác nổi bật:
- Tự động phát hiện các dịch vụ đang chạy, loại bỏ sự cần thiết phải chỉ định các cổng mạng đang hoạt động theo cách thủ công.
- Đã thêm hỗ trợ tệp để ghi đè nhanh cài đặt liên quan đến cài đặt mặc định. Việc sử dụng snort_config.lua và SNORT_LUA_PATH đã bị ngừng để đơn giản hóa cấu hình. Đã thêm hỗ trợ để tải lại cài đặt một cách nhanh chóng;
- Mã cung cấp khả năng sử dụng các cấu trúc C ++ được xác định trong tiêu chuẩn C ++ 14 (hợp ngữ yêu cầu trình biên dịch hỗ trợ C ++ 14).
- Một bộ điều khiển VXLAN mới đã được thêm vào.
- Cải thiện tìm kiếm các loại nội dung theo nội dung bằng cách sử dụng các triển khai thay thế được cập nhật của thuật toán Boyer-Moore và Hyperscan.
- Khởi chạy tăng tốc bằng cách sử dụng nhiều luồng để biên dịch các nhóm quy tắc;
- Đã thêm một cơ chế đăng ký mới.
- Hệ thống kiểm tra RNA (Nhận thức mạng thời gian thực) đã được thêm vào, hệ thống này thu thập thông tin về tài nguyên, máy chủ, ứng dụng và dịch vụ có sẵn trên mạng.
Fuente: https://blog.snort.org