The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Доступны анализатор трафика Zeek 8.0 и сетевой сканер Nmap 7.98

25.08.2025 07:31

Опубликован релиз системы анализа трафика и выявления сетевых вторжений Zeek 8.0.0, ранее распространявшейся под именем Bro. Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Код системы написан на языке С++ и распространяется под лицензией BSD.

Платформой предоставляются модули для анализа и разбора различных сетевых протоколов уровня приложений, учитывающие состояние соединений и позволяющие формировать подробный журнал (архив) сетевой активности. Предлагается предметно-ориентированный язык для написания сценариев мониторинга и выявления аномалий с учётом специфики конкретных инфраструктур. Система оптимизирована для использования в сетях с большой пропускной способностью. Предоставляется API для интеграции со сторонними информационными системами и обмена данными в режиме реального времени.

В новом выпуске Zeek:

  • Добавлена возможность настройки идентификаторов сетевого потока (Flow Tuple) через плагины. Для исключения коллизий при разделении потоков в сложных сетях, помимо IP-адресов, номеров портов и протокола, теперь можно учитывать дополнительный контекст, например, теги VLAN или идентификаторы инкапсулированного трафика для VXLAN и Geneve.
  • Доведён до готовности к применению на рабочих системах новый кластерный бэкенд на базе ZeroMQ, определяющий метод взаимодействия между узлами кластера и формат сериализации данных. По умолчанию продолжает использоваться бэкенд Broker, но в будущем запланирован переход на бэкенд ZeroMQ по умолчанию, который позволяет обойтись без прокси при распространении по узлам широковещательных сообщений. Упрощён сбор телеметрии о работе кластера, позволяющей отслеживать нагрузку на узлы, независимо от используемого бэкенда.
  • Добавлен парсер для протокола СУБД Redis и обеспечено ведение лога перехваченных операций.
  • В анализаторе SMTP реализована поддержка извлечения из трафика почтовых сообщений (RFC 822) и их передачи в анализатор файлов, что может использоваться для сохранения перехваченных электронных писем на диске в виде файлов в формате .eml.
  • В анализатор FTP добавлена поддержка расширения AUTH TLS.
  • В анализаторе DNS реализовано распознавание записей NAPTR.
  • В анализатор PPPoE добавлена возможность вывода идентификаторов сеансов.
  • Вместо раздельных логов analyzer.log и dpd.log задействован общий лог analyzer.log.
  • Генератор парсеров для разбора протоколов и файлов обновлён до версии Spicy 1.14, в которой предложены новые оптимизации и обеспечено удаление неиспользуемых параметров функций.
  • Предоставлена возможность изменения формата ведения лога, используя пакет logschema (например, можно использовать JSON или CSV вместо традиционных текстовых логов).
  • Для сборки проекта теперь требуется компилятор с поддержкой стандарта C++20. В качестве минимально поддерживаемых версий заявлены GCC 10, Clang 8 и Visual Studio 2022.



Дополнительно можно отметить релиз сканера сетевой безопасности Nmap 7.98, предназначенного для проведения аудита сети и выявления активных сетевых сервисов. Код проекта поставляется под лицензией NPSL (Nmap Public Source License), основанной на лицензии GPLv2, которая дополнена рекомендациями (не требованиями) по использованию программы OEM-лицензирования и покупке коммерческой лицензии, если производитель не желает открывать код своего продукта в соответствии требованиями копилефт-лицензии или намерен интегрировать Nmap в продукты, несовместимые с GPL.

В версии Nmap 7.98 в основном присутствуют исправления ошибок. Например, устранены аварийные завершения при использовании nmap c некоторыми VPN-интерфейсами. Из функциональных изменений выделяется добавление NSE-обвязок для использования функций libssh2 в скриптах автоматизации действий с Nmap. Оптимизирована работа резолвера DNS. В библиотеку tls.lua добавлена поддержка шифров, применяемых в TLSv1.3, включая постквантовые наборы шифров. Обновлены версии OpenSSL 3.0.17, Lua 5.4.8 и Npcap 1.83, задействованные в готовых сборках.

  1. Главная ссылка к новости (https://zeek.org/2025/08/intro...)
  2. OpenNews: Выпуск сетевых анализаторов Wireshark 4.4.0 и Zeek 7.0.0
  3. OpenNews: Открытый проект Bro переименован в Zeek из-за негативной коннотации
  4. OpenNews: Выпуск сканера сетевой безопасности Nmap 7.96
  5. OpenNews: Релиз анализатора трафика sniffglue 0.14.0
  6. OpenNews: Выпуск HTTPS-анализатора Mitmproxy 11 с поддержкой HTTP/3
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/63772-zeek
Ключевые слова: zeek, bro
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:33, 25/08/2025 [ответить]  
    		• +1 +/
    А зачем смешивать два разных продукта в одной новости? Они как-то связаны?
     
     
  • 2.3, Аноним (3), 09:34, 25/08/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Не разу что-ли не читал двойнечёк?
     

  • 1.2, Аноним (3), 09:33, 25/08/2025 [ответить]  
    		• +/
    Спасибо, скачал)
     
  • 1.4, Аноним (4), 09:40, 25/08/2025 [ответить]  
    		• +/
    nmap ещё Нео из первой Матрицы юзал, хакер.
     
  • 1.5, Аноним (5), 10:09, 25/08/2025 [ответить]  
    		• +/
    >и выявления аномалий

    https://vc.ru/services/2132524

     
  • 1.6, rshadow (ok), 10:47, 25/08/2025 [ответить]  
    		• +/
    Когда уже РКН свои либы DPI в опенсорс выложит? (
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру