Представлен (http://blog.snort.org/2012/07/snort-2930-has-been-released.html) релиз Snort 2.9.3.0 (http://www.snort.org), свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.Основные новшества:
- Реализована архитектура плагинов для динамического формирования вывода, позволяющая разработчикам создавать свои механизмы для журналирования событий и архивирования пакетов с данными;
- В правилах flowbit появилась возможность логического объединения в рамках одного правила операций с отдельными битами через связующие логические операторы, что позволяет использовать правила flowbits для нескольких групп;- Обновлён препроцессор dcerpc2, в котором увеличена точность работы и обеспечена поддержка различных операционных систем при обработке SMB-пакетов;
- В препроцессоре расчёта репутации добавлена поддержка белых и доверительных списков;
- В препроцессоре smtp расширены возможности по ведению логов;
- Оптимизирована обработка вложений в email и уменьшено потребление памяти;
- Улучшена производительность режима инспектирования HTTP, при обработке сжатых методом gzip потоков;
- В декодировщиках пакетов добавлена поддержка pflog v4;
- Удалена поддержка вкомпилируемых модулей прямого вывода в СУБД (spo_database). Опции конфигурации
"output database: alert" и "output database: log" больше не поддерживаются. Отныне следует использовать формат unified2 с последующим экспортом в MySQL при помощи приложения barnyard2 (ttps://github.com/firnsy/barnyard2).
URL: http://blog.snort.org/2012/07/snort-2930-has-been-released.html
Новость: http://www.opennet.me/opennews/art.shtml?num=34404
Какую нагрузку дает на ~100 Мб?
Подскажите нормальный учебник по Snort, если кто знает?
Пока видел только один, но его предлагалось только купить, и то за 500 рублей, а покупать кота в мешке не хочется...
http://www.snort.org/docs
с сурикатой кто-нибудь сравнивал?
Сравнивал. Suricata на борту имеет гораздо более вкусные возможности, а также переваривает правила snort и пишет в barnyard2, т.е. имеет практически полную обратную совместимость.Вот по производительности на 100% не скажу. Все зависит от способа "прослушивания" интерфейса. Но оба продукта умеют pf_ring, а suricata еще и CUDA поддерживает.
Еще могу сказать, что suricata разрабатывают выходцы из sourcefire (snort).
Да это CUDA и не туда и не сюда. Блоб поганый что-ли ставить теперь из-за него?
А их работа должна быть полностью идентична при одинаковых правилах? То есть они одинаково будут сообщать о дропбоксах, возможных попытках проломить смб и прочем? Вопрос возник в связи с тем что где-то попадался график обнаружения всякой нечисти. Там снорт что-то отлавливал а суриката молчала. К сожалению потерял ссыль и не могу сказать одинаково они были настроены или нет.
Возможно имелась в виду эта ссыль?
http://www.aldeid.com/wiki/Suricata-vs-snortТам сравнивается версия suricata 1.1beta1 и snort 2.9.0.4. Возможно с тех пор многое изменилось. К сожалению пока оба этих продукта на живом проекте протестировать не могу. Если будет возможность, то анализ обоих продуктов обязательно проведу.
не, точно не то. Там статья была со скриншотами графического интерфейса. Может snorby, squert или тому подобное.> К сожалению пока оба этих продукта на живом проекте протестировать не могу. Если будет возможность, то анализ обоих продуктов обязательно проведу.
было бы интересно.
Кстати недавно был релиз suricata 1.3, странно, что новости нет. Да и с новостью о snort опоздали.