https://opennet.ru/openforum/vsluhforumID3/85722.html Представлен (http://blog.snort.org/2012/07/snort-2930-has-been-released.html) релиз Snort 2.9.3.0 (http://www.snort.org), свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.<br><br><br><br>Основные новшества:<br><br><br><br>- Реализована архитектура плагинов для динамического формирования вывода, позволяющая разработчикам создавать свои механизмы для журналирования событий и архивирования пакетов с данными; <br>- В правилах flowbit появилась возможность логического объединения в рамках одного правила операций с отдельными битами через связующие логические операторы, что позволяет использовать правила flowbits для нескольких групп;<br><br>- Обновлён препроцессор dcerpc2, в котором увеличена точность работы и обеспечена поддержка различных операционных систем при обработке SMB-пакетов;<br><br>- В препроцессоре расчёта репутации добавлена поддержка белых и доверительных списков;<br>- В препроцессоре smtp расшир https://opennet.ru/openforum/vsluhforumID3/85722.html#10 Wed, 25 Jul 2012 07:51:44 GMT не, точно не то. Там статья была со скриншотами графического интерфейса. Может snorby, squert или тому подобное.<br><br>&gt; К сожалению пока оба этих продукта на живом проекте протестировать не могу. Если будет возможность, то анализ обоих продуктов обязательно проведу.<br><br>было бы интересно.<br> https://opennet.ru/openforum/vsluhforumID3/85722.html#9 Wed, 25 Jul 2012 05:59:03 GMT Возможно имелась в виду эта ссыль?<br>http://www.aldeid.com/wiki/Suricata-vs-snort<br><br>Там сравнивается версия suricata 1.1beta1 и snort 2.9.0.4. Возможно с тех пор многое изменилось. К сожалению пока оба этих продукта на живом проекте протестировать не могу. Если будет возможность, то анализ обоих продуктов обязательно проведу.<br> https://opennet.ru/openforum/vsluhforumID3/85722.html#8 Wed, 25 Jul 2012 05:04:33 GMT А их работа должна быть полностью идентична при одинаковых правилах? То есть они одинаково будут сообщать о дропбоксах, возможных попытках проломить смб и прочем? Вопрос возник в связи с тем что где-то попадался график обнаружения всякой нечисти. Там снорт что-то отлавливал а суриката молчала. К сожалению потерял ссыль и не могу сказать одинаково они были настроены или нет.<br> https://opennet.ru/openforum/vsluhforumID3/85722.html#7 Wed, 25 Jul 2012 00:41:06 GMT Да это CUDA и не туда и не сюда. Блоб поганый что-ли ставить теперь из-за него?<br> https://opennet.ru/openforum/vsluhforumID3/85722.html#6 Tue, 24 Jul 2012 19:05:41 GMT Кстати недавно был релиз suricata 1.3, странно, что новости нет. Да и с новостью о snort опоздали.<br> https://opennet.ru/openforum/vsluhforumID3/85722.html#5 Tue, 24 Jul 2012 19:02:11 GMT Сравнивал. Suricata на борту имеет гораздо более вкусные возможности, а также переваривает правила snort и пишет в barnyard2, т.е. имеет практически полную обратную совместимость.<br><br>Вот по производительности на 100% не скажу. Все зависит от способа "прослушивания" интерфейса. Но оба продукта умеют pf_ring, а suricata еще и CUDA поддерживает.<br><br>Еще могу сказать, что suricata разрабатывают выходцы из sourcefire (snort).<br> https://opennet.ru/openforum/vsluhforumID3/85722.html#4 Tue, 24 Jul 2012 13:14:59 GMT http://www.snort.org/docs<br> https://opennet.ru/openforum/vsluhforumID3/85722.html#3 Tue, 24 Jul 2012 12:57:24 GMT с сурикатой кто-нибудь сравнивал?<br> https://opennet.ru/openforum/vsluhforumID3/85722.html#2 Tue, 24 Jul 2012 12:32:40 GMT Подскажите нормальный учебник по Snort, если кто знает?<br>Пока видел только один, но его предлагалось только купить, и то за 500 рублей, а покупать кота в мешке не хочется...<br>