The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз системы обнаружения атак Snort 2.9.0

06.10.2010 12:35

Представлен новый выпуск свободной системы обнаружения и предотвращения атак Snort 2.9.0, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Наиболее важные улучшения:

  • Режим предотвращения атак (IPS) включает расширение возможностей подсистемы Stream (обработчик/сборщик TCP-потоков для контроля за отдельными сессиями) для работы в активном inline-режиме (snort выступает в роли шлюза и позволяет принимать решения о дальнейшем прохождении пакетов в момент их получения, а не на основе пассивного анализа трафика). Реакция для всех пакетов теперь задается через единый API, поддерживающий модули Stream, Respond и React. Добавлен новый модуль реакции - respond3, поддерживающий синтаксис как модуля resp, так и resp2, включая возможность блокирования и в конфигурациях с пассивным анализом трафика. В случае, когда Snort запущен в активном inline-режиме, теперь используется новый препроцессор для нормализации пакетов, позволяя интерпретировать пакеты тем же способом, что и получающий эти пакеты хост;
  • Задействование модуля DAQ (API для сбора данных, Data Acquisition API), который определяет множество разных методов доступа к получению пакетов, таких как libpcap, netfilterq, IPFW и afpacket. При использовании libpcap теперь требуется как минимум версия 1.0 данной библиотеки. Код DAQ может быть обновлен независимо от Snort, так как теперь является независимым модулем.
  • Обновлен код инспектирования HTTP-трафика (HTTP Inspect), который теперь может извлекать и использовать IP-адреса из HTTP-заголовков X-Forward-For и True-Client-IP;
  • Новая опция 'byte_extract' позволяет использовать извлеченные в текущем правиле значения внутри следом идущих опций isdataat и byte_test, byte_jump, а также в содержимом distance/within/depth/offset;
  • В SMTP-препроцессоре реализована поддержка декодирования больших MIME-вложений, требующим передачи более одного сетевого пакета;
  • Возможность тестирования правил блокирования пакетов. В режиме Inline Test Mode пакеты не отбрасываются, а только отражаются в логе как подлежащие блокировке;
  • Новые опции правил для декодирования и инспектирования base64-блоков данных;
  • Улучшена работа кода по декодированию IPv6-пакетов с целью улучшения определения аномалий;
  • Добавлен пример создания приложений для обработки данных формате unified2, используемом для компактного хранения логов Snort;
  • Добавлен новый обработчик шаблонов, поддерживающий задействования аппаратных акселераторов, совместимых с Intel Quick Assist Technology, для ускорения сопоставления масок.


  1. Главная ссылка к новости (http://www.snort.org/news/2010...)
  2. OpenNews: Релиз системы обнаружения атак Snort 2.8.6
  3. OpenNews: Вышел релиз системы обнаружения атак Snort 2.8.3
  4. OpenNews: Система обнаружения атак Snort 2.7.0
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/28191-snort
Ключевые слова: snort, ids, security
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (9) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Иван (??), 18:47, 06/10/2010 [ответить]  
  • +/
    Интересно, они когда-нибудь сделают работу с несколькими интерфейсами..?
     
     
  • 2.2, Аноним (-), 19:53, 06/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Оно наверное и с одним портом вешает не самые медленные камни.
     
  • 2.3, fox_12 (?), 01:12, 07/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    а что мешает запустить отдельный процесс для каждого интерфейса в отдельности?
    Типа:
    snort -i eth0 -c /etc/snort/snort_eth0.conf
    snort -i eth1 -c /etc/snort/snort_eth1.conf
    snort -i eth2 -c /etc/snort/snort_eth2.conf
    ...
     
     
  • 3.5, Иван (??), 11:51, 07/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего не мешает, так и работает - но это не красиво/неправильно. А у меня, допустим, 8 интерфейсов - мне 8 конфигов обслуживать? Трешняк...
     
     
  • 4.6, xxx (??), 21:35, 09/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Ничего не мешает, так и работает - но это не красиво/неправильно. А
    > у меня, допустим, 8 интерфейсов - мне 8 конфигов обслуживать? Трешняк...

    если стоит линукс, то afaik подойдёт "any" в качестве имени интерфейса, по крайней мере так обстоит дело с tcpdump и libpccap(через которую как раз и работает snort).
    лень сейчас смотреть свои конфиги, но по моему у меня так и настроено.

     
     
  • 5.9, an0nymous (?), 15:20, 25/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    any в линукце.

    они inline никак нормальный не прикрутят, snort_inline уже лет сто назад форкнулся от них и suricata родилась.

     
  • 2.7, Анон (?), 09:31, 11/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в 3.0 пофиксят.
     

  • 1.4, Аноним (-), 09:00, 07/10/2010 [ответить]  
  • +/
    тогдауж кажды процесс на отдельном ядре.
     
  • 1.8, Аноним (-), 21:11, 30/11/2010 [ответить]  
  • +/
    ребята поможете установить snort 2.9.0.1 c поддержкой мускула на fedora 13
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру