The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз системы обнаружения атак Snort 3

20.01.2021 09:02

После семи лет разработки компания Cisco представила первый стабильный релиз полностью переработанной системы предотвращения атак Snort 3, способной анализировать трафик в режиме реального времени, реагировать на выявляемую вредоносную активность и вести детальный лог пакетов для последующего разбора инцидентов. Код проекта написан на языке С++ и распространяется под лицензией GPLv2.

В ветке Snort 3, также известной как проект Snort++, полностью переосмыслена концепция продукта и переработана архитектура. Работа над Snort 3 была начата в 2005 году, но вскоре была заброшена и возобновились только в 2013 году после перехода проекта в руки компании Cisco. Среди ключевых направлений развития Snort 3: упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.

Основные изменения:

  • Осуществлён переход на новую систему конфигурации, предлагающую упрощённый синтаксис и позволяющую использовать скрипты для динамического формирования настроек. Для обработки файлов конфигурации используется LuaJIT. Предоставляются плагины на базе LuaJIT с реализацией дополнительных опций для правил и системы ведения логов;
  • Модернизирован движок определения атак, актуализированы правила, добавлена возможность привязки буферов в правилах (sticky buffers). Задействован поисковый движок Hyperscan, позволивший использовать в правилах быстрые и более точно срабатывающие шаблоны на основе регулярных выражений;
  • Добавлен новый режим интроспекции для HTTP, учитывающий состояние сеанса и охватывающий 99% ситуаций, поддерживаемых тестовым набором HTTP Evader. Добавлена система инспектирования трафика HTTP/2;
  • Существенно увеличена производительность режима глубокого инспектирования пакетов. Добавлена возможность многопоточной обработки пакетов, допускающая одновременное выполнение нескольких нитей с обработчиками пакетов и обеспечивающая линейную масштабируемость в зависимости от числа ядер CPU;
  • Реализовано общее хранилище конфигурации и таблицы атрибутов, которое совместно используется в разных подсистемах, что позволило заметно снизить потребления памяти благодаря исключению дублирования информации;
  • Новая система журналирования событий, использующая формат JSON и легко интегрируемая с внешними платформами, такими как Elastic Stack;
  • Переход на модульную архитектуру, возможность расширения функциональности через подключение плагинов и реализация ключевых подсистем в виде заменяемых плагинов. В настоящее время для Snort 3 уже реализовано более 200 плагинов, охватывающих различные области применения, например, позволяющие добавить собственные кодеки, режимы интроспекции, методы журналирования, действия и опции в правилах;
  • Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов.
  • Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию. Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH. Добавлена поддержка перезагрузки настроек на лету;
  • В коде обеспечена возможность использования конструкций C++, определённых в стандарте C++14 (для сборки требуется компилятор, поддерживающий C++14);
  • Добавлен новый обработчик VXLAN;
  • Улучшен поиск типов контента по содержимому с использованием обновлённых альтернативных реализаций алгоритмов Бойера-Мура и Hyperscan;
  • Ускорен запуск за счёт использования нескольких потоков для компиляции групп правил;
  • Добавлен новый механизм ведения логов;
  • Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах.


  1. Главная ссылка к новости (https://blog.snort.org/2021/01...)
  2. OpenNews: Релиз системы обнаружения атак Snort 2.9.17.0
  3. OpenNews: Cloudflare представил открытый сканер сетевой безопасности Flan Scan
  4. OpenNews: Google опубликовал код сканера безопасности Tsunami
  5. OpenNews: Выпуск сканера сетевой безопасности Nmap 7.90
  6. OpenNews: Выпуск системы обнаружения атак Suricata 6.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54433-snort
Ключевые слова: snort
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (42) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, lockywolf (ok), 09:09, 20/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Он тяжёлый? Нельзя поставить "на всякий случай"?
     
     
  • 2.4, пох. (?), 09:26, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    судя по "модному логу в json" - только для этого тебе придется уже громоздить жабье тормозилище elk.

    Ну и ids "на всякий случай" - это какой-то очень несчастный случай.

     
     
  • 3.5, lockywolf (ok), 09:30, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, есть jq, его хвалят.
     
     
  • 4.6, пох. (?), 09:46, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну, есть jq, его хвалят.

    то есть тебя совершенно не смущает идея сперва нагадить в лог в нечеловекочитаемом формате, а потом хз как его парсить хз чем? Ну оок.

    А я, пожалуй, мимо пройду.

     
     
  • 5.21, оорпп (?), 13:29, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чем он нечитаем? Зато хорошо машиночитаем.
     
  • 5.31, Стас Михайлов (?), 18:01, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Можно с форматированием гадить, не самая плохая идея. Зато вот парсить каждый раз уникальный формат для каждой отдельной программы - отстойное занятие. Где ещё от флагов зависит с какого бока чего выводится. Просто ужасное занятие плохое, не рекомендую никому.
     
  • 4.11, Аноним (11), 10:08, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    что такое jq? jquery? очередная аббревиатура короче
     
     
  • 5.13, lockywolf (ok), 10:17, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > что такое jq? jquery? очередная аббревиатура короче

    https://stedolan.github.io/jq/

     
  • 5.17, пох. (?), 13:00, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > что такое jq? jquery? очередная аббревиатура короче

    смари, смари, еще один неудачник, не умеющий пользоваться современными-админскими-инструментами!

    Небось, грепает до сих пор.

     
  • 3.19, Богдан Помазан (?), 13:10, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Loki/Grafana
     
     
  • 4.41, Led (ok), 14:57, 21/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну и зачем ты тут нас^Wрасслабился?
     
  • 3.40, rshadow (ok), 13:49, 21/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Например в сурикате 2 лога. Один текстовый, а второй json для интеграции с другим софтом. Наверно здесь та же история.
    По факту там можно любой лог настроить вплоть до дампов траффика и т.д.
     
  • 2.27, bobr (?), 14:42, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зависит от того, сколько у тебя трафика и как много правил.
    Предыдущая версия на где-то 20 Мбитах трафика работала на десктопном core i7-2600 с не самым большим набором правил. Но процессор был перманентно загружен в полочку.
     
     
  • 3.34, лол (?), 22:27, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    надо было раскидывать на 8 потоков, тянула б сотку, получается.
     
     
  • 4.42, bobr (?), 16:39, 21/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю, как сейчас, но прежние версии так не умели. Суриката умеет.
     
  • 2.29, псевдонимус (?), 17:12, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не профессионалу настроить сложно. И это не для десктопа, на нем он тебе все нервы вытрепит.
     
  • 2.30, псевдонимус (?), 17:15, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Снорт не "на всякий случай". либо он работает постоянно, либо смысла в нем нет.
     
  • 2.45, Аноним (45), 17:16, 22/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Suricata лёгкий.
     

  • 1.2, Леголас (ok), 09:10, 20/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > После пятнадцати лет разработки компания Cisco представила

    пятнадцати лет?! вот это основательный релиз

    __update__
    новость дополнили деталями, всё как всегда

     
  • 1.3, Аноним (3), 09:16, 20/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Обновился толстый торрент-клиент qBittorrent 4.3.3.
     
     
  • 2.9, Аноним (11), 10:06, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не на электроне хоть и на том спасибо
     
     
  • 3.14, Аноним (3), 11:00, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А на си не кашерно? Не говоря уже про ассемблер.
    Нужно утяжелить?
     
     
  • 4.16, антифрактал (?), 11:42, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Что даст ассемблер в торрент клиенте? Ускорит Интернет?
     
     
  • 5.25, Аноним (25), 14:33, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нормальный клиент весит кило, а не мега.
     
     
  • 6.32, Стас Михайлов (?), 18:05, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так вы ж не донатите, вот и нет нормального. И не будет - потому что донатить надо на регулярной основе, разработчику нужно не только кушать, но ещё и хорошо лечиться и (о ужас!) отдыхать. Современный потребитель программного кода от одной такой мысли начнёт приходить в ярость и кричать что за интернет уже уплочено.
     
     
  • 7.36, Аноним (36), 00:28, 21/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Открытый не значит хороший.
     

  • 1.7, Аноним (-), 09:55, 20/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Взлом форума проекта OpenWRT
    >компания Cisco представила первый стабильный релиз полностью переработанной системы предотвращения атак Snort 3

    Совпадение?! Не думаю. Сisco и Juniper боятся свободного железа. Грядёт борьба за Свободное железо.

    Сделаем свои свободные коммутаторы! А Juniper и Сisco пусть загнутся!

     
     
  • 2.8, Леголас (ok), 09:58, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    вот вы наивный романтик)
     
  • 2.23, Сейд (ok), 14:12, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Несколько компаний уже сделали открытые коммутаторы и опубликовали спецификации на сайте https://www.opencompute.org/wiki/Networking/SpecsAndDesigns
     

  • 1.18, Cyber100 (ok), 13:04, 20/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    тут одно ламо интересуется, когда его в pfsense завезут?
    а то сейчас в тестовой ветке 2.5.0 только 2.9.17.
     
     
  • 2.20, пох. (?), 13:18, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > тут одно ламо интересуется, когда его в pfsense завезут?

    В смысле, надеется успеть соскочить?

    Ну не сразу, не сразу - там тоже с ресурсами ниалле. Некоторое время обойдемся еще без elk.

     

  • 1.22, оорпп (?), 13:32, 20/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть у него готовые основные правил? Определялбы известные атаки и сообщал или что-то делал.
     
     
  • 2.24, Сейд (ok), 14:15, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.snort.org/downloads
     

  • 1.26, little Bobby tables (?), 14:40, 20/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Те части третьего снорта, что переведены с сишечки на плюсы, сделаны непрофессионально. Складывается впечатление, что выбор контейнеров был случаен, лишь бы скомпилировалось. и это циско?
     
     
  • 2.28, Аноним (28), 15:50, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Проприетарный продукт = некачесвенный продукт.
     
     
  • 3.33, Аноним (36), 22:15, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Качество не зависит от открытости.
     
  • 2.35, онанимус (?), 23:51, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > и это циско?

    дружище, "той" цыски уже лет 10 как не существует, новая цыска исправляет уязвимости блокировкой юзерагента "curl".

     
     
  • 3.39, Аноним (-), 13:06, 21/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "Той" циски никогда и не было. ГНУ/Линукс задал высокую планку программирования, да так что Цыска и другие было-компании оказались в тени. Коммерческим компаниям всегда придётся плестись сзади.
     
     
  • 4.43, СеменСеменыч777 (?), 18:02, 21/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > "Той" циски никогда и не было.

    было ! могла шифровать 2-4 потока 100 Мбит/с в обе стороны стороны криптоускорителем с 3DES. естественно IPsec.

    ps: а вот Эдварда Сноудена тогда не было.

     

  • 1.37, СеменСеменыч777 (?), 00:38, 21/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "новый режим интроспекции для HTTP" - очень вовремя. а для https (который сейчас под 90% трафика) есть чо ? или предлагается атаковать mitm самого себя ?
     
  • 1.38, deeaitch (ok), 07:01, 21/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Молодцы. Долгих лет проекту.
     
  • 1.44, Аноним (44), 08:40, 22/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для обработки файлов конфигурации используется LuaJIT

    А без мерзкого JIT оно что даже свой корфиг прочесть не может?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру