The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Релиз системы обнаружения атак Snort 2.9.9.0 "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз системы обнаружения атак Snort 2.9.9.0 "  +/
Сообщение от opennews (??) on 15-Дек-16, 13:14 
Компания Cisco опубликовала (http://marc.info/?l=snort-devel&m=148173737026836&w=2) новый значительный релиз Snort 2.9.9.0 (http://www.snort.org),  свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:


-  Расширено число опций правил с которыми допустимо использование операции byte_math (http://manual-snort-org.s3-website-us-east-1.amazonaws.com/n...);

-  В выражении byte_test (http://manual-snort-org.s3-website-us-east-1.amazonaws.com/n...) добавлена поддержка операций  bitmask и from_end;
-  Добавлена утилита  Buffer Dump для отслеживания использования всех буферов в процессе инспектирования в snort. Утилита собирается при указании опции "configure --enable-buffer-dump";
-  Добавлены новые предупреждения HTTP-препроцессора, позволяющие выявить запросы с указанием нескольких полей с размером контента и кодировкой контента (например, при подстановке (https://www.opennet.ru/tips/2999_iptables_block_tor.shtml) фиктивных ответов провайдером);

-  Реализовано определение SMTP-трафика, передаваемого поверх шифрованного канала связи (SMTPS).

URL: http://marc.info/?l=snort-devel&m=148173737026836&w=2
Новость: http://www.opennet.ru/opennews/art.shtml?num=45693

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз системы обнаружения атак Snort 2.9.9.0 "  +2 +/
Сообщение от Аноним (??) on 15-Дек-16, 13:14 
иэххх... когда-то это и правда была система обнаружения атак.
А теперь - банальный конструктор анальных зондов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз системы обнаружения атак Snort 2.9.9.0 "  +/
Сообщение от минус_1_мэйнтэйнер on 15-Дек-16, 21:42 
suricata жи есть не?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз системы обнаружения атак Snort 2.9.9.0 "  +1 +/
Сообщение от Аноним (??) on 16-Дек-16, 12:26 
а суриката и с самого начала была конструктором анальных зондов - в отличие от снорта, который некоторое время все же был ограниченно пригоден для того, для чего формально позиционировался.

То есть надо понимать, что все эти поделия сегодня совершенно бесполезны при отсутствии постоянно отслеживаемых и обновляемых правил обнаружения. У снорта они есть, но по подписке - то есть что туда цискоиндусы напихали, то и будет. У сурикаты нет и такого. То что есть открытого - непригодно к употреблению. Самостоятельно -не получится, жизни не хватит. А вот самостоятельно собрать анальный зондик - да, можно. Собственно, именно в этом качестве их и применяют. А за IPS идут к циске/PA/прочим.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Релиз системы обнаружения атак Snort 2.9.9.0 "  +/
Сообщение от zanswer on 17-Дек-16, 06:55 
Cisco сама часть сигнатур покупает у Trend Labs, например multi-string сигнатуры.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру