Представлен (http://blog.snort.org/2012/12/snort-2940-has-been-released.html) релиз Snort 2.9.4.0 (http://www.snort.org), свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.Основные новшества:
- Обеспечение консолидированной поддержки IPv6 и IPv4 в рамках единой сборки. Удаление кода, завязанного только на IPv4. Поддержка декодирования IPv6 для PPPoE;
- API для работы с файлами и улучшение поддержки обработки файлов, проходящих в рамках HTTP-загрузок и почтовых вложений;
- Использование идентификации по диапазонам адресов для отслеживания соединений к сервисам Frag и Stream. Улучшена работа модулей для разбора трафика Stream;- Ведение лога данных из пакетов, для которых PPM-проверки (Packet Performance Monitoring) указывают на необходимость дополнительного анализа;
- Реализован API-вызов для добавления сервиса для хоста в таблице атрибутов;- Возможность активного реагирования на пакеты, не содержащие данных (например, TCP SYN);
- Обновлён препроцессор SMTP, в котором обеспечена корректная обработка команд X-EXPS, XEXCH50 и BDAT;
- Улучшена поддержка блокирования инкапсулированных или туннелированных протоколов, а также блокирования отдельных соединений внутри туннеля.URL: http://blog.snort.org/2012/12/snort-2940-has-been-released.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=35502
Вот бы еще литру по тому как анализировать систему после атаки для установления кто ее попортил!
Какие проблемы?
Помнится мне, что у них была база сигнатур только по подписке, а спустя полгода или год они отдавали "в свободное пользование". Поменялось ли что то?
Помоему подписку я оформлял бесплатно - что то изменилось?
Идет опоздание на месяц.
https://snorby.org/Suricata ( http://www.openinfosecfoundation.org )