форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз системы обнаружения атак Snort 2.9.3.0"	+/–
Сообщение от opennews on 24-Июл-12, 15:40
Представлен (http://blog.snort.org/2012/07/snort-2930-has-been-released.html) релиз Snort 2.9.3.0 (http://www.snort.org),  свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. Основные новшества: -  Реализована архитектура плагинов для динамического формирования вывода, позволяющая разработчикам создавать свои механизмы для журналирования событий и архивирования пакетов с данными; -  В правилах flowbit появилась возможность логического объединения в рамках одного правила операций с отдельными битами через связующие логические операторы, что позволяет использовать правила flowbits для нескольких групп; -  Обновлён препроцессор dcerpc2, в котором увеличена точность работы и обеспечена поддержка различных операционных систем при обработке SMB-пакетов; -  В препроцессоре расчёта репутации добавлена поддержка белых и доверительных списков; -  В препроцессоре smtp расширены возможности по ведению логов; -  Оптимизирована обработка вложений в email и уменьшено потребление памяти; -  Улучшена производительность режима инспектирования HTTP, при обработке сжатых методом gzip потоков; -  В декодировщиках пакетов добавлена поддержка  pflog v4; -  Удалена поддержка вкомпилируемых модулей прямого вывода в СУБД (spo_database). Опции конфигурации "output database: alert" и "output database: log" больше не поддерживаются. Отныне следует использовать формат unified2 с последующим экспортом в MySQL при помощи приложения  barnyard2 (ttps://github.com/firnsy/barnyard2). URL: http://blog.snort.org/2012/07/snort-2930-has-been-released.html Новость: http://www.opennet.ru/opennews/art.shtml?num=34404
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Релиз системы обнаружения атак Snort 2.9.3.0"	+/–
Сообщение от Анонище on 24-Июл-12, 15:40
Какую нагрузку дает на ~100 Мб?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз системы обнаружения атак Snort 2.9.3.0"	+1 +/–
Сообщение от Mapper720 on 24-Июл-12, 16:32
Подскажите нормальный учебник по Snort, если кто знает? Пока видел только один, но его предлагалось только купить, и то за 500 рублей, а покупать кота в мешке не хочется...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Релиз системы обнаружения атак Snort 2.9.3.0"	+1 +/–
	Сообщение от Анонимъ on 24-Июл-12, 17:14
	http://www.snort.org/docs
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Релиз системы обнаружения атак Snort 2.9.3.0"	+/–
Сообщение от Аноним (??) on 24-Июл-12, 16:57
с сурикатой кто-нибудь сравнивал?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Релиз системы обнаружения атак Snort 2.9.3.0"	+/–
	Сообщение от kay (ok) on 24-Июл-12, 23:02
	Сравнивал. Suricata на борту имеет гораздо более вкусные возможности, а также переваривает правила snort и пишет в barnyard2, т.е. имеет практически полную обратную совместимость. Вот по производительности на 100% не скажу. Все зависит от способа "прослушивания" интерфейса. Но оба продукта умеют pf_ring, а suricata еще и CUDA поддерживает. Еще могу сказать, что suricata разрабатывают выходцы из sourcefire (snort).
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "Релиз системы обнаружения атак Snort 2.9.3.0"	+/–
	Сообщение от Аноним (??) on 25-Июл-12, 04:41
	Да это CUDA и не туда и не сюда. Блоб поганый что-ли ставить теперь из-за него?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Релиз системы обнаружения атак Snort 2.9.3.0"	+/–
	Сообщение от Аноним (??) on 25-Июл-12, 09:04
	А их работа должна быть полностью идентична при одинаковых правилах? То есть они одинаково будут сообщать о дропбоксах, возможных попытках проломить смб и прочем? Вопрос возник в связи с тем что где-то попадался график обнаружения всякой нечисти. Там снорт что-то отлавливал а суриката молчала. К сожалению потерял ссыль и не могу сказать одинаково они были настроены или нет.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Релиз системы обнаружения атак Snort 2.9.3.0"	+/–
	Сообщение от kay (ok) on 25-Июл-12, 09:59
	Возможно имелась в виду эта ссыль? http://www.aldeid.com/wiki/Suricata-vs-snort Там сравнивается версия suricata 1.1beta1 и snort 2.9.0.4. Возможно с тех пор многое изменилось. К сожалению пока оба этих продукта на живом проекте протестировать не могу. Если будет возможность, то анализ обоих продуктов обязательно проведу.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Релиз системы обнаружения атак Snort 2.9.3.0"	+/–
	Сообщение от Аноним (??) on 25-Июл-12, 11:51
	не, точно не то. Там статья была со скриншотами графического интерфейса. Может snorby, squert или тому подобное. > К сожалению пока оба этих продукта на живом проекте протестировать не могу. Если будет возможность, то анализ обоих продуктов обязательно проведу. было бы интересно.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	6. "Релиз системы обнаружения атак Snort 2.9.3.0"	+/–
	Сообщение от kay (ok) on 24-Июл-12, 23:05
	Кстати недавно был релиз suricata 1.3, странно, что новости нет. Да и с новостью о snort опоздали.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема