OpenForum RSS: Релиз системы обнаружения атак Snort 2.9.9.0 https://opennet.ru/openforum/vsluhforumID3/109915.html Компания Cisco опубликовала (http://marc.info/?l=snort-devel&m=148173737026836&w=2) новый значительный релиз Snort 2.9.9.0 (http://www.snort.org), свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.<br><br><br><br>Основные новшества:<br><br><br>- Расширено число опций правил с которыми допустимо использование операции byte_math (http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node32.html#SECTION004534000000000000000);<br><br>- В выражении byte_test (http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node32.html#SECTION004531000000000000000) добавлена поддержка операций bitmask и from_end;<br>- Добавлена утилита Buffer Dump для отслеживания использования всех буферов в процессе инспектирования в snort. Утилита собирается при указании опции "configure --enable-buffer-dump";<br>- Добавлены новые предупреждения HTTP-препроцессора, позволяющие выявить запросы с указанием нескольких полей Релиз системы обнаружения атак Snort 2.9.9.0 (zanswer) https://opennet.ru/openforum/vsluhforumID3/109915.html#4 Sat, 17 Dec 2016 03:55:59 GMT Cisco сама часть сигнатур покупает у Trend Labs, например multi-string сигнатуры. <br> Релиз системы обнаружения атак Snort 2.9.9.0 (Аноним) https://opennet.ru/openforum/vsluhforumID3/109915.html#3 Fri, 16 Dec 2016 09:26:48 GMT а суриката и с самого начала была конструктором анальных зондов - в отличие от снорта, который некоторое время все же был ограниченно пригоден для того, для чего формально позиционировался.<br><br>То есть надо понимать, что все эти поделия сегодня совершенно бесполезны при отсутствии постоянно отслеживаемых и обновляемых правил обнаружения. У снорта они есть, но по подписке - то есть что туда цискоиндусы напихали, то и будет. У сурикаты нет и такого. То что есть открытого - непригодно к употреблению. Самостоятельно -не получится, жизни не хватит. А вот самостоятельно собрать анальный зондик - да, можно. Собственно, именно в этом качестве их и применяют. А за IPS идут к циске/PA/прочим.<br><br><br><br> Релиз системы обнаружения атак Snort 2.9.9.0 (минус_1_мэйнтэйнер) https://opennet.ru/openforum/vsluhforumID3/109915.html#2 Thu, 15 Dec 2016 18:42:58 GMT suricata жи есть не?<br> Релиз системы обнаружения атак Snort 2.9.9.0 (Аноним) https://opennet.ru/openforum/vsluhforumID3/109915.html#1 Thu, 15 Dec 2016 10:14:47 GMT иэххх... когда-то это и правда была система обнаружения атак.<br>А теперь - банальный конструктор анальных зондов.<br><br>