Компания Cisco опубликовала (http://marc.info/?l=snort-devel&m=148173737026836&w=2) новый значительный релиз Snort 2.9.9.0 (http://www.snort.org), свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.Основные новшества:
- Расширено число опций правил с которыми допустимо использование операции byte_math (http://manual-snort-org.s3-website-us-east-1.amazonaws.com/n...);- В выражении byte_test (http://manual-snort-org.s3-website-us-east-1.amazonaws.com/n...) добавлена поддержка операций bitmask и from_end;
- Добавлена утилита Buffer Dump для отслеживания использования всех буферов в процессе инспектирования в snort. Утилита собирается при указании опции "configure --enable-buffer-dump";
- Добавлены новые предупреждения HTTP-препроцессора, позволяющие выявить запросы с указанием нескольких полей с размером контента и кодировкой контента (например, при подстановке (https://www.opennet.ru/tips/2999_iptables_block_tor.shtml) фиктивных ответов провайдером);- Реализовано определение SMTP-трафика, передаваемого поверх шифрованного канала связи (SMTPS).
URL: http://marc.info/?l=snort-devel&m=148173737026836&w=2
Новость: http://www.opennet.ru/opennews/art.shtml?num=45693
иэххх... когда-то это и правда была система обнаружения атак.
А теперь - банальный конструктор анальных зондов.
suricata жи есть не?
а суриката и с самого начала была конструктором анальных зондов - в отличие от снорта, который некоторое время все же был ограниченно пригоден для того, для чего формально позиционировался.То есть надо понимать, что все эти поделия сегодня совершенно бесполезны при отсутствии постоянно отслеживаемых и обновляемых правил обнаружения. У снорта они есть, но по подписке - то есть что туда цискоиндусы напихали, то и будет. У сурикаты нет и такого. То что есть открытого - непригодно к употреблению. Самостоятельно -не получится, жизни не хватит. А вот самостоятельно собрать анальный зондик - да, можно. Собственно, именно в этом качестве их и применяют. А за IPS идут к циске/PA/прочим.
Cisco сама часть сигнатур покупает у Trend Labs, например multi-string сигнатуры.