اخبار

نسخه آزمایشی Snort 3 هم اکنون در دسترس قرار دارد

اخیراً نسخه ۳ سامانه تشخیص نفوذ Snort به‌صورت آزمایشی منتشرشده است. این نسخه از روی نسخه ۲ آن بازنویسی و طراحی‌شده و در چندین مورد بهبودیافته است. ویژگی‌های مهم این نسخه عبارت‌اند از:

  • نحوه پیکربندی: در این نسخه، از زبان LuaJIT برای پیکربندی استفاده‌شده است که باعث سادگی و سازگاری دستورات پیکربندی‌شده است. در این نسخه افزونه‌های LuaJIT برای تنظیمات قوانین و رویدادنگارها نیز پشتیبانی می‌شود.
  • تشخیص: در این نسخه گروه Snort با همکاری Cisco Talos نیازمندی‌ها را به شیوه مناسبی سنجیده و در به‌روزرسانی قوانین مورداستفاده قرار داده است. از موارد مهم به‌روزرسانی‌ها، می‌توان به ویژگی “Sticky Buffers” اشاره کرد. با استفاده از کتابخانه Hyperscan  (که یک تسریع‌کننده برای تطبیق عبارات منظم  است)، الگوهای طراحی‌شده برای عبارات منظم سریع‌تر و دقیق‌تر رصد می‌شوند.
  • HTTP: در این نسخه سیستم جدیدی برای بررسی پروتکل HTTP ایجادشده است. در این سیستم ۹۹ درصد مواردی که قصد دور زدن HTTP را دارند شناسایی می‌شوند. امکانات قانون‌گذاری (قوانین تشخیص نفوذ) جدید از دیگر مواردی است که در این نسخه اضافه‌شده است.
  • کارایی: در این نسخه بررسی عمیق بسته به‌صورت ملموسی بهبودیافته که منجر به افزایش کارایی گردیده است. Snort نسخه ۳ هم‌اکنون قابلیت اجرای چندین عملیات پردازشی بسته به‌صورت هم‌زمان را نیز پشتیبانی می‌کند. همچنین با مقیاس‌پذیری خطی در مصرف حافظه، میزان حافظه کمتری را برای پیکربندی‌های به اشتراک گذاشته‌شده مانند موتورهای طراحی قوانین، استفاده می‌کند.
  • قابلیت گزارش رویدادها در قالب JSON: گزارش دهی رویدادها در قالب JSON باعث می‌شود تا این قابلیت را بتوان با ابزارهایی مانند Elastic Stack ادغام کرد و گزارش‌های بصری از رویدادها ایجاد کرد.
  • افزونه‌ها: Snort نسخه ۳ بسیار انعطاف‌پذیر طراحی‌شده و بیشتر از ۲۲۵ افزونه مختلف برای آن وجود دارد. استفاده‌کنندگان از این ابزار می‌توانند به‌سادگی المان‌های موردنظر خود را ازجمله codecها، بررسی‌کننده، نحوه برخورد بانفوذ، امکانات قانون‌گذاری و گزارش ثبت‌کننده‌ها را به نرم‌افزار اضافه کنند.

این نسخه از Snort  را می‌توانید از snort.org  یا GitHub دریافت کنید. بسته‌های موجود در این نسخه عبارت‌اند از:

  • snort3: کد نرم‌افزار اصلی و افزونه‌ها
  • snort3_extra: شامل افزونه‌ها و مثال‌های بیشتر
  • snort3_demo: نرم‌افزاری برای آزمون و مثال‌های کاربردی

Snort نسخه ۳ تمام ویژگی‌های نسخه ۲.۹.۱۱ را پشتیبانی می‌کند. توسعه‌دهندگان این سامانه تشخیص نفوذ وعده داده‌اند که در آینده قابلیت‌های جدیدی ازجمله:

  • DAQ نسل جدید
  • رویدادهای اتصال
  • شتابدهنده موتور جستجو

به این سامانه افزوده خواهد شد.

 

منبع: وب‌لاگ Snort

نسخه آزمایشی Snort 3 هم اکنون در دسترس قرار دارد
To Top