Компания Cisco опубликовала (http://marc.info/?l=snort-devel&m=141408571114994&w=2) новый значительный релиз Snort 2.9.8.0 (http://www.snort.org),  свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:

-  Поддержка инспектирования файлов, передаваемых при помощи протоколов SMBv2/SMBv3;

-  Средства профилирования производительности Lua-детекторов приложений (AppID);
-  Новый скрипт для создания на языке Lua простых детекторов приложений для AppID;
-  Новый вид предупреждений препроцессора, указывающих на выявление проброса SSH поверх  HTTP;
-  Новая директива конфигурации disable_replace для отключения опции замены правил;
-  Новая настройка препроцессора Stream log_asymmetric_traffic для управления сброса логов через syslog;

-  Добавлен  AppID API для пакетов DNS;
-  Проведена оптимизация потребления памяти;

-  Возможность отправки активных ответов по протоколу UDP;
-  В FTP-препроцессоре улучшены средства блокирования вредоносного ПО. Добавлена возможность разделения активных и пассивных FTP-соединений.

URL: http://marc.info/?l=snort-devel&m=144891815817018&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=43422

• Выпуск системы обнаружения атак Snort 2.9.8.0,Аноним, 12:13 , 01-Дек-15
• Выпуск системы обнаружения атак Snort 2.9.8.0,Меломан1, 13:29 , 01-Дек-15
  • Выпуск системы обнаружения атак Snort 2.9.8.0,EuPhobos, 14:24 , 01-Дек-15
  • Выпуск системы обнаружения атак Snort 2.9.8.0,Легион, 17:50 , 01-Дек-15
• Выпуск системы обнаружения атак Snort 2.9.8.0,Аноним, 14:00 , 01-Дек-15
• Выпуск системы обнаружения атак Snort 2.9.8.0,Аноним, 14:03 , 01-Дек-15
  • Выпуск системы обнаружения атак Snort 2.9.8.0,Аноним, 15:06 , 01-Дек-15
• Выпуск системы обнаружения атак Snort 2.9.8.0,dkg, 16:40 , 01-Дек-15
  • Выпуск системы обнаружения атак Snort 2.9.8.0,Аноним, 06:55 , 02-Дек-15
• Выпуск системы обнаружения атак Snort 2.9.8.0,Аноним, 17:43 , 01-Дек-15
• Выпуск системы обнаружения атак Snort 2.9.8.0,InventoRs, 20:27 , 01-Дек-15
  • Выпуск системы обнаружения атак Snort 2.9.8.0,123, 20:51 , 01-Дек-15
    • Выпуск системы обнаружения атак Snort 2.9.8.0,thorvald, 21:51 , 01-Дек-15

а сигнатуры годные будут?

Даже не знаю, как доверять Cisco безопасность своих систем, если Cisco использует одинаковые криптографические ключи и сертификаты вместе с другими производителями сетевого оборудования.

Большая часть всего интернета построена на оборудовании Cisco, не доверяй, выдерни ПК из розетки, и пользуйся голубиной почтой =)
Так что выбора нет. Монополизм такой монополизм..

В руководстве Cisco паника. Собрали срочное совещание, рвут волосы на всех местах, решают, как не потерять твое доверие.

А в сурикате есть инспектирование передаваемых по самбе файлов ?

Эта версия умеет в многопоточность ?

Отвечу себе сам - "не умеет"

А есть на него какой-ндь годный web-интерфейс? Знаю только pfsense, но это enterprise комбайн.

Snorby

В репах linuxmint Snort есть, только не знаю ставить его или нет? А то и навредить может. Кто знает, на что способен этот Snort.

Пытались прикрутить, трафа всего пару гиг, логов просто не мерянно, ресурсы жрет, веба нормального нету, snorty умер и не ставится, а если и ставится то работает криво.

В итоге простой вопрос, а есть что-то подобное и адекватное?

канал примерно в 50000 pps. полет нормальный. учись лучше.

А подробнее, можно линк на что почитать про настройку снорта при большом трафе? А то тоже логи выедают все место.