URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 109915
[ Назад ]

Исходное сообщение
"Релиз системы обнаружения атак Snort 2.9.9.0 "
Отправлено opennews , 15-Дек-16 13:14

Компания Cisco опубликовала (http://marc.info/?l=snort-devel&m=148173737026836&w=2) новый значительный релиз Snort 2.9.9.0 (http://www.snort.org),  свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.
Основные новшества:

-  Расширено число опций правил с которыми допустимо использование операции byte_math (http://manual-snort-org.s3-website-us-east-1.amazonaws.com/n...);
-  В выражении byte_test (http://manual-snort-org.s3-website-us-east-1.amazonaws.com/n...) добавлена поддержка операций  bitmask и from_end;
-  Добавлена утилита  Buffer Dump для отслеживания использования всех буферов в процессе инспектирования в snort. Утилита собирается при указании опции "configure --enable-buffer-dump";
-  Добавлены новые предупреждения HTTP-препроцессора, позволяющие выявить запросы с указанием нескольких полей с размером контента и кодировкой контента (например, при подстановке (https://www.opennet.ru/tips/2999_iptables_block_tor.shtml) фиктивных ответов провайдером);
-  Реализовано определение SMTP-трафика, передаваемого поверх шифрованного канала связи (SMTPS).
URL: http://marc.info/?l=snort-devel&m=148173737026836&w=2
Новость: http://www.opennet.ru/opennews/art.shtml?num=45693

Содержание

Релиз системы обнаружения атак Snort 2.9.9.0 ,Аноним, 13:14 , 15-Дек-16
Релиз системы обнаружения атак Snort 2.9.9.0 ,минус_1_мэйнтэйнер, 21:42 , 15-Дек-16
- Релиз системы обнаружения атак Snort 2.9.9.0 ,Аноним, 12:26 , 16-Дек-16
  - Релиз системы обнаружения атак Snort 2.9.9.0 ,zanswer, 06:55 , 17-Дек-16

Сообщения в этом обсуждении

"Релиз системы обнаружения атак Snort 2.9.9.0 "
Отправлено Аноним , 15-Дек-16 13:14

иэххх... когда-то это и правда была система обнаружения атак.
А теперь - банальный конструктор анальных зондов.

"Релиз системы обнаружения атак Snort 2.9.9.0 "
Отправлено минус_1_мэйнтэйнер , 15-Дек-16 21:42

suricata жи есть не?

"Релиз системы обнаружения атак Snort 2.9.9.0 "
Отправлено Аноним , 16-Дек-16 12:26

а суриката и с самого начала была конструктором анальных зондов - в отличие от снорта, который некоторое время все же был ограниченно пригоден для того, для чего формально позиционировался.
То есть надо понимать, что все эти поделия сегодня совершенно бесполезны при отсутствии постоянно отслеживаемых и обновляемых правил обнаружения. У снорта они есть, но по подписке - то есть что туда цискоиндусы напихали, то и будет. У сурикаты нет и такого. То что есть открытого - непригодно к употреблению. Самостоятельно -не получится, жизни не хватит. А вот самостоятельно собрать анальный зондик - да, можно. Собственно, именно в этом качестве их и применяют. А за IPS идут к циске/PA/прочим.

"Релиз системы обнаружения атак Snort 2.9.9.0 "
Отправлено zanswer , 17-Дек-16 06:55

Cisco сама часть сигнатур покупает у Trend Labs, например multi-string сигнатуры.