The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз системы обнаружения атак Snort 2.9.11.0

11.10.2017 23:23

Компания Cisco опубликовала релиз Snort 2.9.11.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:

  • Реализована гибкая система распределения памяти для препроцессоров, освобождающая неиспользуемую или недавно использованную память при необходимости и позволяющая обойтись без перезапуска Snort при изменении распределения памяти;
  • Добавлена поддержка хранения имён файлов в Unicode для протокола SMB;
  • Для определения и блокирования BitTorrent представлена система версионирования hostPortCache для неизвестных типов потоков в AppID;
  • Улучшен разбор метаданых RTSP для определения RTSP-трафика через Windows Media;
  • Увеличена производительность в ситуациях достижения лимита на интенсивность SYN-пакетов и начала блокировки превышающего лимит трафика;
  • Для платформы FreeBSD реализована возможность использования unix-сокетов для передачи команд рабочим процессам и включения режима use_side_channel;
  • Улучшена обработка потоков SIP/RTP и увеличена производительность их обработки;
  • Добавлен лимит на размер распаковываемых данных в форматах PDF и SWF;
  • Расширены возможности по определению клиента SMTP.


  1. Главная ссылка к новости (http://blog.snort.org/2017/10/...)
  2. OpenNews: Доступна система обнаружения атак Suricata 4.0
  3. OpenNews: Компания Cisco завершила сделку по покупке Sourcefire, развивающей Snort и ClamAV
  4. OpenNews: Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения
  5. OpenNews: Релиз системы обнаружения атак Snort 2.9.9.0
  6. OpenNews: Релиз Sagan 0.2, системы мониторинга событий информационной безопасности
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47371-snort
Ключевые слова: snort, ids, ips
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:32, 11/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Простите за холивар, но что лучше выбрать snort или suricata ?
     
     
  • 2.2, AntonAlekseevich (ok), 23:35, 11/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Все в зависимости от ваших задач.
    Но рекомендую Snort.
     
     
  • 3.3, Аноним (-), 00:10, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Задачи - сканить трафик, знать не завелось ли в сети чего нехорошего. Блокировать ничего не хочу.
     
     
  • 4.5, iCat (ok), 05:22, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >Задачи - сканить трафик, знать не завелось ли в сети чего нехорошего. Блокировать ничего не хочу.

    Есть такая забавная утилитка - EtherApe...
    Именно для "посмотреть" и попугать руководство - вполне пригодная.

     
  • 4.8, AntonAlekseevich (ok), 10:39, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Можете обойтись NetFilter'ом. Пропишите правила LOG на прероуте в таблице nat и mangle.
     
  • 2.4, pavard (ok), 03:25, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    суриката больше заточена на производительность: имеет возможность распараллеливаться на несколько потоков ( 3 стратегии ), работать на гпу. ну и сама по себе лучше развивается. и как бы уже сильно потеснила снорт.
     

  • 1.6, Онаним (?), 05:46, 12/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > Добавлена поддержка хранения имён файлов в Unicode

    Ааа! Скоро 2018-й год, а всё-ещё объявляются софты, которые только сейчас добавляют поддержку Unicode...

     
     
  • 2.7, Аноним (-), 07:32, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> Добавлена поддержка хранения имён файлов в Unicode
    > Ааа! Скоро 2018-й год, а всё-ещё объявляются софты, которые только сейчас добавляют
    > поддержку Unicode...

    В SMB всегда имена файлы передавались не в UTF, а в разных 8-битных кодировках. Snort теперь будет перекодировать весь этот зоопарк, аля CP1251, в Unicode.

     
  • 2.14, rshadow (ok), 14:53, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я тебе больше скажу, его полной поддержки нет ни в одном ЯП. Соответственно и софт идет со скрипом. Если просто строку вывести - это можно. А как поиск, регэкспы, сетевое хождение, стыковка разных модулей между собой - то это мрак.
     
     
  • 3.18, _ (??), 18:25, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да но к примеру в Java и Go это менее мрак чем в к примеру С и С++ ...
    И всё потихоньку туда и ползёт, для aplication domain ... so let it be!
     
     
  • 4.25, Аноним (-), 06:06, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не скажу за Go, но в Java, C и C++ всеравно приходится жрать ICU, и хоть ты тресни. Поэтому, никакой разницы не вижу.

    Иначе, поясни свои слова.

     
  • 4.31, пох (?), 18:45, 17/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Да но к примеру в Java и Go это менее мрак чем в к примеру С и С++ ...

    в жабе чуть менее просто в силу особенностей применения.
    go, насколько я понял, унаследовал все беды от c++
    И какая муха, спрашивается, укусила Денниса, что из _уже_ существующего языка, умевшего работать с _байтами_, а не символами (что,на самом деле, и надо в большинстве случаев низкоуровнего программирования), именно это свойство зачем-то было выпилено безвозвратно? При наличии кучи милых конструкций, намертво привязанных к особенностям процессора pdp11.

    Все беды современных реализаций в том, что char у нас используется там, где должен был быть byte.
    Отсюда и бесконечные костылики и подпорочки.

     
  • 3.22, angra (ok), 20:53, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну чтобы далеко не ходить, чего именно из юникода не хватает в perl?
     
     
  • 4.23, Аноним (-), 22:04, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы еще спровил про ruby
     
  • 3.24, Старый одмин (?), 22:23, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А я все думал, что >=python3.3, все же является языком программирования.
    Ошибся.

    А может и нет.
    http://pyvideo.org/pycon-us-2013/the-guts-of-unicode-in-python.html

     
     
  • 4.29, Аноним (-), 17:40, 15/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Привет старом админу локалхоста! Специально для тебя процитирую определени языка программирования, раз ты состарился, а гугль не освоил:

    Язык программи́рования — формальный язык, предназначенный для записи компьютерных программ. Язык программирования определяет набор лексических, синтаксических и семантических правил, определяющих внешний вид программы и действия, которые выполнит исполнитель (обычно — ЭВМ) под её управлением.

     

  • 1.10, Мелоня (?), 12:01, 12/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ну допустим меня атаковали, система обнаружила атакера. Что делать дальше? Звонить в полицию?
     
     
  • 2.11, Аноним (-), 12:07, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Расслабиться и получать удовольствие?
     
  • 2.12, эцсамое (ok), 14:19, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ну, как минимум можно пробить whois'ом адрес и написать в указанный абьюз.
     
     
  • 3.30, Аноним (-), 17:52, 15/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ну, как минимум можно пробить whois'ом адрес и написать в указанный абьюз.

    Угу, прямо вот так взять и написать 100к жалоб.
    И затем отвечать на 5k вопросов получателей писем счастья.
    Попутно узнав про часовые пояса и что whois-сервера банят особо настойчивых.
    А так же, что жалобы принято сопровождать netflow.

    Более правильный подход: запротоколировать ip-адреса атакующих как участников ботнета и забанить на некоторое время.

     
  • 2.13, zanswer CCNA RS and S (?), 14:32, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Заблокировать атакующего, по-моему это очевидно, разве нет?

    Существует два основных класса устройств, осуществляющих мониторинг сетевого трафика с целью выявления атак, это IDS и IPS, первые делают это пассивно и не могут сами влиять на трафик, второе делают активно и могут влиять на трафик, блокируя его. Это я в общем говорю, IDS может и активно осуществлять мониторинг, но так обычно не делают.

    Что не мешает IDS к слову задействовать для фильтрации внешние устройства, к примеру брандмауэр или же просто ACL на пограничном маршрутизаторе. Snort позволяет вам реализовать IDS, который при определение атаки, будет запускать скрипт, а дальше, делайте, что душе угодно.

     
     
  • 3.16, fyf (?), 16:21, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ключевое тут сигнатуры, которыми большие дядьки не деляться. А то, что есть под словом коммунити полный треш. А так ИДС и ИПС, какая разница, если вас уже поимели.

     
     
  • 4.20, Аноним (-), 18:44, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Всем они делятся. Могут даже бесплатно, только с задержкой в месяц. Или быстро, да довольно небольшие деньги.
     
     
  • 5.27, fyf (?), 09:10, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    вот в том то и дело, что с задержкой в месяц.
    уязвимости находятся каждый день, эксплойты так же каждый день.
    История с недавним шифровальщиком показало, что все это малоэффективно.

     
  • 5.28, Аноним (-), 10:25, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Небольшие??? Почему тогда подписку на свои железки все эти циски-чекпойнты-джуниепры продают за немаленькие деньги?
     
     
  • 6.32, пох (?), 19:32, 17/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Небольшие??? Почему тогда подписку на свои железки все эти циски-чекпойнты-джуниепры
    > продают за немаленькие деньги?

    а ты пахады па базар, паспрашывай - можэт, дэшевлэ кто прэдложыт?

    Прикол в том, что сигнатуры (впрочем, там не совсем и не только сигнатуры) к чекпоинту может выпустить только чекпоинт, ни бесплатных нет, ни за деньги нет, а есть только у самого чекпоинта - за всю кучу золота.

    а сигнатуры к снорту, было бы время и вдохновение, может начать клепать любой индусско-подданный. В том числе и небесплатно.

     
  • 2.19, _ (??), 18:30, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Если у тебя есть обвязка _над_ - она должна принять меры для отбоя атаки. Рул в фаер засунуть, к примеру.
    Если нет - мониторинг пропищит, или утром сам в логах увидишь и пойдёшь анализировать была ли атака успешной. Ну а дальше - устранять последствия, сочинять как обороняццо и писать обвязку к пп.№ 1 :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру