The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз системы обнаружения атак Snort 2.9.3.0

24.07.2012 14:39

Представлен релиз Snort 2.9.3.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:

  • Реализована архитектура плагинов для динамического формирования вывода, позволяющая разработчикам создавать свои механизмы для журналирования событий и архивирования пакетов с данными;
  • В правилах flowbit появилась возможность логического объединения в рамках одного правила операций с отдельными битами через связующие логические операторы, что позволяет использовать правила flowbits для нескольких групп;
  • Обновлён препроцессор dcerpc2, в котором увеличена точность работы и обеспечена поддержка различных операционных систем при обработке SMB-пакетов;
  • В препроцессоре расчёта репутации добавлена поддержка белых и доверительных списков;
  • В препроцессоре smtp расширены возможности по ведению логов;
  • Оптимизирована обработка вложений в email и уменьшено потребление памяти;
  • Улучшена производительность режима инспектирования HTTP, при обработке сжатых методом gzip потоков;
  • В декодировщиках пакетов добавлена поддержка pflog v4;
  • Удалена поддержка вкомпилируемых модулей прямого вывода в СУБД (spo_database). Опции конфигурации "output database: alert" и "output database: log" больше не поддерживаются. Отныне следует использовать формат unified2 с последующим экспортом в MySQL при помощи приложения barnyard2.


  1. Главная ссылка к новости (http://blog.snort.org/2012/07/...)
  2. OpenNews: Релиз системы обнаружения атак Snort 2.9.2
  3. OpenNews: Релиз системы обнаружения атак Snort 2.9.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/34404-snord
Ключевые слова: snord, ids
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (10) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонище (?), 15:40, 24/07/2012 [ответить]  
    		• +/
    Какую нагрузку дает на ~100 Мб?
     
  • 1.2, Mapper720 (?), 16:32, 24/07/2012 [ответить]  
    		• +1 +/
    Подскажите нормальный учебник по Snort, если кто знает?
    Пока видел только один, но его предлагалось только купить, и то за 500 рублей, а покупать кота в мешке не хочется...
     
     
  • 2.4, Анонимъ (?), 17:14, 24/07/2012 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    http://www.snort.org/docs
     

  • 1.3, Аноним (-), 16:57, 24/07/2012 [ответить]  
    		• +/
    с сурикатой кто-нибудь сравнивал?
     
     
  • 2.5, kay (ok), 23:02, 24/07/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Сравнивал. Suricata на борту имеет гораздо более вкусные возможности, а также переваривает правила snort и пишет в barnyard2, т.е. имеет практически полную обратную совместимость.

    Вот по производительности на 100% не скажу. Все зависит от способа "прослушивания" интерфейса. Но оба продукта умеют pf_ring, а suricata еще и CUDA поддерживает.

    Еще могу сказать, что suricata разрабатывают выходцы из sourcefire (snort).

     
     
  • 3.7, Аноним (-), 04:41, 25/07/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Да это CUDA и не туда и не сюда. Блоб поганый что-ли ставить теперь из-за него?
     
  • 3.8, Аноним (-), 09:04, 25/07/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    А их работа должна быть полностью идентична при одинаковых правилах? То есть они одинаково будут сообщать о дропбоксах, возможных попытках проломить смб и прочем? Вопрос возник в связи с тем что где-то попадался график обнаружения всякой нечисти. Там снорт что-то отлавливал а суриката молчала. К сожалению потерял ссыль и не могу сказать одинаково они были настроены или нет.
     
     
  • 4.9, kay (ok), 09:59, 25/07/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Возможно имелась в виду эта ссыль?
    http://www.aldeid.com/wiki/Suricata-vs-snort

    Там сравнивается версия suricata 1.1beta1 и snort 2.9.0.4. Возможно с тех пор многое изменилось. К сожалению пока оба этих продукта на живом проекте протестировать не могу. Если будет возможность, то анализ обоих продуктов обязательно проведу.

     
     
  • 5.10, Аноним (-), 11:51, 25/07/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    не, точно не то. Там статья была со скриншотами графического интерфейса. Может snorby, squert или тому подобное.

    > К сожалению пока оба этих продукта на живом проекте протестировать не могу. Если будет возможность, то анализ обоих продуктов обязательно проведу.

    было бы интересно.

     
  • 2.6, kay (ok), 23:05, 24/07/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Кстати недавно был релиз suricata 1.3, странно, что новости нет. Да и с новостью о snort опоздали.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру