اخیراً نسخه ۳ سامانه تشخیص نفوذ Snort بهصورت آزمایشی منتشرشده است. این نسخه از روی نسخه ۲ آن بازنویسی و طراحیشده و در چندین مورد بهبودیافته است. ویژگیهای مهم این نسخه عبارتاند از:
- نحوه پیکربندی: در این نسخه، از زبان LuaJIT برای پیکربندی استفادهشده است که باعث سادگی و سازگاری دستورات پیکربندیشده است. در این نسخه افزونههای LuaJIT برای تنظیمات قوانین و رویدادنگارها نیز پشتیبانی میشود.
- تشخیص: در این نسخه گروه Snort با همکاری Cisco Talos نیازمندیها را به شیوه مناسبی سنجیده و در بهروزرسانی قوانین مورداستفاده قرار داده است. از موارد مهم بهروزرسانیها، میتوان به ویژگی “Sticky Buffers” اشاره کرد. با استفاده از کتابخانه Hyperscan (که یک تسریعکننده برای تطبیق عبارات منظم است)، الگوهای طراحیشده برای عبارات منظم سریعتر و دقیقتر رصد میشوند.
- HTTP: در این نسخه سیستم جدیدی برای بررسی پروتکل HTTP ایجادشده است. در این سیستم ۹۹ درصد مواردی که قصد دور زدن HTTP را دارند شناسایی میشوند. امکانات قانونگذاری (قوانین تشخیص نفوذ) جدید از دیگر مواردی است که در این نسخه اضافهشده است.
- کارایی: در این نسخه بررسی عمیق بسته بهصورت ملموسی بهبودیافته که منجر به افزایش کارایی گردیده است. Snort نسخه ۳ هماکنون قابلیت اجرای چندین عملیات پردازشی بسته بهصورت همزمان را نیز پشتیبانی میکند. همچنین با مقیاسپذیری خطی در مصرف حافظه، میزان حافظه کمتری را برای پیکربندیهای به اشتراک گذاشتهشده مانند موتورهای طراحی قوانین، استفاده میکند.
- قابلیت گزارش رویدادها در قالب JSON: گزارش دهی رویدادها در قالب JSON باعث میشود تا این قابلیت را بتوان با ابزارهایی مانند Elastic Stack ادغام کرد و گزارشهای بصری از رویدادها ایجاد کرد.
- افزونهها: Snort نسخه ۳ بسیار انعطافپذیر طراحیشده و بیشتر از ۲۲۵ افزونه مختلف برای آن وجود دارد. استفادهکنندگان از این ابزار میتوانند بهسادگی المانهای موردنظر خود را ازجمله codecها، بررسیکننده، نحوه برخورد بانفوذ، امکانات قانونگذاری و گزارش ثبتکنندهها را به نرمافزار اضافه کنند.
این نسخه از Snort را میتوانید از snort.org یا GitHub دریافت کنید. بستههای موجود در این نسخه عبارتاند از:
- snort3: کد نرمافزار اصلی و افزونهها
- snort3_extra: شامل افزونهها و مثالهای بیشتر
- snort3_demo: نرمافزاری برای آزمون و مثالهای کاربردی
Snort نسخه ۳ تمام ویژگیهای نسخه ۲.۹.۱۱ را پشتیبانی میکند. توسعهدهندگان این سامانه تشخیص نفوذ وعده دادهاند که در آینده قابلیتهای جدیدی ازجمله:
- DAQ نسل جدید
- رویدادهای اتصال
- شتابدهنده موتور جستجو
به این سامانه افزوده خواهد شد.
منبع: وبلاگ Snort
