Компания Cisco опубликовала (http://blog.snort.org/2017/10/snort-29110-has-been-released....) релиз Snort 2.9.11.0 (http://www.snort.org), свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.Основные новшества:
- Реализована гибкая система распределения памяти для препроцессоров, освобождающая неиспользуемую или недавно использованную память при необходимости и позволяющая обойтись без перезапуска Snort при изменении распределения памяти;
- Добавлена поддержка хранения имён файлов в Unicode для протокола SMB;- Для определения и блокирования BitTorrent представлена система версионирования hostPortCache для неизвестных типов потоков в AppID;
- Улучшен разбор метаданых RTSP для определения RTSP-трафика через Windows Media;
- Увеличена производительность в ситуациях достижения лимита на интенсивность SYN-пакетов и начала блокировки превышающего лимит трафика;
- Для платформы FreeBSD реализована возможность использования unix-сокетов для передачи команд рабочим процессам и включения режима use_side_channel;
- Улучшена обработка потоков SIP/RTP и увеличена производительность их обработки;- Добавлен лимит на размер распаковываемых данных в форматах PDF и SWF;
- Расширены возможности по определению клиента SMTP.
URL: http://blog.snort.org/2017/10/snort-29110-has-been-released....
Новость: https://www.opennet.ru/opennews/art.shtml?num=47371
Простите за холивар, но что лучше выбрать snort или suricata ?
Все в зависимости от ваших задач.
Но рекомендую Snort.
Задачи - сканить трафик, знать не завелось ли в сети чего нехорошего. Блокировать ничего не хочу.
>Задачи - сканить трафик, знать не завелось ли в сети чего нехорошего. Блокировать ничего не хочу.Есть такая забавная утилитка - EtherApe...
Именно для "посмотреть" и попугать руководство - вполне пригодная.
Можете обойтись NetFilter'ом. Пропишите правила LOG на прероуте в таблице nat и mangle.
суриката больше заточена на производительность: имеет возможность распараллеливаться на несколько потоков ( 3 стратегии ), работать на гпу. ну и сама по себе лучше развивается. и как бы уже сильно потеснила снорт.
> Добавлена поддержка хранения имён файлов в UnicodeАаа! Скоро 2018-й год, а всё-ещё объявляются софты, которые только сейчас добавляют поддержку Unicode...
>> Добавлена поддержка хранения имён файлов в Unicode
> Ааа! Скоро 2018-й год, а всё-ещё объявляются софты, которые только сейчас добавляют
> поддержку Unicode...В SMB всегда имена файлы передавались не в UTF, а в разных 8-битных кодировках. Snort теперь будет перекодировать весь этот зоопарк, аля CP1251, в Unicode.
Я тебе больше скажу, его полной поддержки нет ни в одном ЯП. Соответственно и софт идет со скрипом. Если просто строку вывести - это можно. А как поиск, регэкспы, сетевое хождение, стыковка разных модулей между собой - то это мрак.
Да но к примеру в Java и Go это менее мрак чем в к примеру С и С++ ...
И всё потихоньку туда и ползёт, для aplication domain ... so let it be!
Не скажу за Go, но в Java, C и C++ всеравно приходится жрать ICU, и хоть ты тресни. Поэтому, никакой разницы не вижу.Иначе, поясни свои слова.
> Да но к примеру в Java и Go это менее мрак чем в к примеру С и С++ ...в жабе чуть менее просто в силу особенностей применения.
go, насколько я понял, унаследовал все беды от c++
И какая муха, спрашивается, укусила Денниса, что из _уже_ существующего языка, умевшего работать с _байтами_, а не символами (что,на самом деле, и надо в большинстве случаев низкоуровнего программирования), именно это свойство зачем-то было выпилено безвозвратно? При наличии кучи милых конструкций, намертво привязанных к особенностям процессора pdp11.Все беды современных реализаций в том, что char у нас используется там, где должен был быть byte.
Отсюда и бесконечные костылики и подпорочки.
Ну чтобы далеко не ходить, чего именно из юникода не хватает в perl?
Я бы еще спровил про ruby
А я все думал, что >=python3.3, все же является языком программирования.
Ошибся.А может и нет.
http://pyvideo.org/pycon-us-2013/the-guts-of-unicode-in-pyth...
Привет старом админу локалхоста! Специально для тебя процитирую определени языка программирования, раз ты состарился, а гугль не освоил:Язык программи́рования — формальный язык, предназначенный для записи компьютерных программ. Язык программирования определяет набор лексических, синтаксических и семантических правил, определяющих внешний вид программы и действия, которые выполнит исполнитель (обычно — ЭВМ) под её управлением.
Ну допустим меня атаковали, система обнаружила атакера. Что делать дальше? Звонить в полицию?
Расслабиться и получать удовольствие?
ну, как минимум можно пробить whois'ом адрес и написать в указанный абьюз.
> ну, как минимум можно пробить whois'ом адрес и написать в указанный абьюз.Угу, прямо вот так взять и написать 100к жалоб.
И затем отвечать на 5k вопросов получателей писем счастья.
Попутно узнав про часовые пояса и что whois-сервера банят особо настойчивых.
А так же, что жалобы принято сопровождать netflow.Более правильный подход: запротоколировать ip-адреса атакующих как участников ботнета и забанить на некоторое время.
Заблокировать атакующего, по-моему это очевидно, разве нет?Существует два основных класса устройств, осуществляющих мониторинг сетевого трафика с целью выявления атак, это IDS и IPS, первые делают это пассивно и не могут сами влиять на трафик, второе делают активно и могут влиять на трафик, блокируя его. Это я в общем говорю, IDS может и активно осуществлять мониторинг, но так обычно не делают.
Что не мешает IDS к слову задействовать для фильтрации внешние устройства, к примеру брандмауэр или же просто ACL на пограничном маршрутизаторе. Snort позволяет вам реализовать IDS, который при определение атаки, будет запускать скрипт, а дальше, делайте, что душе угодно.
Ключевое тут сигнатуры, которыми большие дядьки не деляться. А то, что есть под словом коммунити полный треш. А так ИДС и ИПС, какая разница, если вас уже поимели.
Всем они делятся. Могут даже бесплатно, только с задержкой в месяц. Или быстро, да довольно небольшие деньги.
вот в том то и дело, что с задержкой в месяц.
уязвимости находятся каждый день, эксплойты так же каждый день.
История с недавним шифровальщиком показало, что все это малоэффективно.
Небольшие??? Почему тогда подписку на свои железки все эти циски-чекпойнты-джуниепры продают за немаленькие деньги?
> Небольшие??? Почему тогда подписку на свои железки все эти циски-чекпойнты-джуниепры
> продают за немаленькие деньги?а ты пахады па базар, паспрашывай - можэт, дэшевлэ кто прэдложыт?
Прикол в том, что сигнатуры (впрочем, там не совсем и не только сигнатуры) к чекпоинту может выпустить только чекпоинт, ни бесплатных нет, ни за деньги нет, а есть только у самого чекпоинта - за всю кучу золота.
а сигнатуры к снорту, было бы время и вдохновение, может начать клепать любой индусско-подданный. В том числе и небесплатно.
Если у тебя есть обвязка _над_ - она должна принять меры для отбоя атаки. Рул в фаер засунуть, к примеру.
Если нет - мониторинг пропищит, или утром сам в логах увидишь и пойдёшь анализировать была ли атака успешной. Ну а дальше - устранять последствия, сочинять как обороняццо и писать обвязку к пп.№ 1 :)