Система обнаружения атак Snort 3 перешла на стадию бета-тестирования

30.08.2018 08:40

После почти четырёх лет нахождения на стадии альфа-разработки представлен первый бета выпуск полностью переработанной системы предотвращения атак Snort 3.0, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года.

Кроме переосмысления концепции и переработки архитектуры в Snort 3 реализованы следующие значительные новшества:

Осуществлён переход на новую систему конфигурации, предлагающую упрощённый синтаксис и позволяющую использовать скрипты для динамического формирования настроек. Для обработки файлов конфигурации используется LuaJIT. Предоставляются плагины на базе LuaJIT с реализацией дополнительных опций для правил и системы ведения логов;
Модернизирован движок определения атак, актуализированы правила, добавлена возможность привязки буферов в правилах (sticky buffers). Задействован поисковый движок Hyperscan, позволивший использовать в правилах быстрые и более точно срабатывающие шаблоны на основе регулярных выражений;
Добавлен новый режим интроспекции для HTTP, учитывающий состояние сеанса и охватывающий 99% ситуаций, поддерживаемых тестовым набором HTTP Evader. В разработке находится код для поддержки HTTP/2;
Существенно увеличена производительность режима глубокого инспектирования пакетов. Добавлена возможность многопоточной обработки пакетов, допускающая одновременное выполнение нескольких нитей с обработчиками пакетов и обеспечивающая линейную масштабируемость в зависимости от числа ядер CPU;
Реализовано общее хранилище конфигурации и таблицы атрибутов, которое совместно используется в разных подсистемах, что позволило заметно снизить потребления памяти благодаря исключению дублирования информации;
Новая система журналирования событий, использующая формат JSON и легко интегрируемая с внешними платформами, такими как Elastic Stack;
Переход на модульную архитектуру, возможность расширения функциональности через подключение плагинов и реализация ключевых подсистем в виде заменяемых плагинов. В настоящее время для Snort 3 уже реализовано 225 плагинов, охватывающих различные области применения, например, позволяющие добавить собственные кодеки, режимы интроспекции, методы журналирования, действия и опции в правилах;
Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49200-snort

Ключевые слова: snort

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (6)

1.2, psv (??), 19:09, 30/08/2018 [ответить]	+/–
Так а базы правил которую сообщество разрабатывает нет? Ну типа хотя бы валидный трафик описан когда? Или в идеале генератор таких правил из описания сети и сервисов в ней?

2.4, пох (?), 20:20, 30/08/2018 [^] [^^] [^^^] [ответить]

+/–

дружище, ты точно-точно понимаешь, что такое и как работают - IDS?

у снорта есть, конечно, помимо intrusion detect, еще тyпенькие скрипты-проверялки наличия конкретных уязвимостей, но это, пожалуй, самая в нем неинтересная часть.

общедоступная нахаляву база правил есть:
https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
но пользы от нее вообще говоря немного.

3.8, psv (??), 10:17, 06/09/2018 [^] [^^] [^^^] [ответить]	+/–
это гуано я уже видел нужен именно генератор базы правил из описания сети и сервисов в ней

1.5, CyberMan (?), 00:59, 31/08/2018 [ответить]	–1 +/–
Сурикат пофичастее будет.

2.6, Деннис Ритчи (?), 07:05, 31/08/2018 [^] [^^] [^^^] [ответить]	+/–
Да и поддержка GPU в сурикате получше реализована

3.7, тот самый парень (?), 10:19, 03/09/2018 [^] [^^] [^^^] [ответить]	+/–
Насколько лучше сказать не получится, ведь ноль на ноль не делится. "Во сколько раз", точнее.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: