The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз системы обнаружения атак Snort 2.9.3.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз системы обнаружения атак Snort 2.9.3.0"  +/
Сообщение от opennews on 24-Июл-12, 15:40 
Представлен (http://blog.snort.org/2012/07/snort-2930-has-been-released.html) релиз Snort 2.9.3.0 (http://www.snort.org),  свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:

-  Реализована архитектура плагинов для динамического формирования вывода, позволяющая разработчикам создавать свои механизмы для журналирования событий и архивирования пакетов с данными;
-  В правилах flowbit появилась возможность логического объединения в рамках одного правила операций с отдельными битами через связующие логические операторы, что позволяет использовать правила flowbits для нескольких групп;

-  Обновлён препроцессор dcerpc2, в котором увеличена точность работы и обеспечена поддержка различных операционных систем при обработке SMB-пакетов;

-  В препроцессоре расчёта репутации добавлена поддержка белых и доверительных списков;
-  В препроцессоре smtp расширены возможности по ведению логов;
-  Оптимизирована обработка вложений в email и уменьшено потребление памяти;
-  Улучшена производительность режима инспектирования HTTP, при обработке сжатых методом gzip потоков;
-  В декодировщиках пакетов добавлена поддержка  pflog v4;
-  Удалена поддержка вкомпилируемых модулей прямого вывода в СУБД (spo_database). Опции конфигурации
"output database: alert" и "output database: log" больше не поддерживаются. Отныне следует использовать формат unified2 с последующим экспортом в MySQL при помощи приложения  barnyard2 (ttps://github.com/firnsy/barnyard2).


URL: http://blog.snort.org/2012/07/snort-2930-has-been-released.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=34404

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Релиз системы обнаружения атак Snort 2.9.3.0"  +/
Сообщение от Анонище on 24-Июл-12, 15:40 
Какую нагрузку дает на ~100 Мб?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз системы обнаружения атак Snort 2.9.3.0"  +1 +/
Сообщение от Mapper720 email on 24-Июл-12, 16:32 
Подскажите нормальный учебник по Snort, если кто знает?
Пока видел только один, но его предлагалось только купить, и то за 500 рублей, а покупать кота в мешке не хочется...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз системы обнаружения атак Snort 2.9.3.0"  +/
Сообщение от Аноним (??) on 24-Июл-12, 16:57 
с сурикатой кто-нибудь сравнивал?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Релиз системы обнаружения атак Snort 2.9.3.0"  +1 +/
Сообщение от Анонимъ on 24-Июл-12, 17:14 
http://www.snort.org/docs
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Релиз системы обнаружения атак Snort 2.9.3.0"  +/
Сообщение от kay (ok) on 24-Июл-12, 23:02 
Сравнивал. Suricata на борту имеет гораздо более вкусные возможности, а также переваривает правила snort и пишет в barnyard2, т.е. имеет практически полную обратную совместимость.

Вот по производительности на 100% не скажу. Все зависит от способа "прослушивания" интерфейса. Но оба продукта умеют pf_ring, а suricata еще и CUDA поддерживает.

Еще могу сказать, что suricata разрабатывают выходцы из sourcefire (snort).

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Релиз системы обнаружения атак Snort 2.9.3.0"  +/
Сообщение от kay (ok) on 24-Июл-12, 23:05 
Кстати недавно был релиз suricata 1.3, странно, что новости нет. Да и с новостью о snort опоздали.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Релиз системы обнаружения атак Snort 2.9.3.0"  +/
Сообщение от Аноним (??) on 25-Июл-12, 04:41 
Да это CUDA и не туда и не сюда. Блоб поганый что-ли ставить теперь из-за него?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Релиз системы обнаружения атак Snort 2.9.3.0"  +/
Сообщение от Аноним (??) on 25-Июл-12, 09:04 
А их работа должна быть полностью идентична при одинаковых правилах? То есть они одинаково будут сообщать о дропбоксах, возможных попытках проломить смб и прочем? Вопрос возник в связи с тем что где-то попадался график обнаружения всякой нечисти. Там снорт что-то отлавливал а суриката молчала. К сожалению потерял ссыль и не могу сказать одинаково они были настроены или нет.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Релиз системы обнаружения атак Snort 2.9.3.0"  +/
Сообщение от kay (ok) on 25-Июл-12, 09:59 
Возможно имелась в виду эта ссыль?
http://www.aldeid.com/wiki/Suricata-vs-snort

Там сравнивается версия suricata 1.1beta1 и snort 2.9.0.4. Возможно с тех пор многое изменилось. К сожалению пока оба этих продукта на живом проекте протестировать не могу. Если будет возможность, то анализ обоих продуктов обязательно проведу.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Релиз системы обнаружения атак Snort 2.9.3.0"  +/
Сообщение от Аноним (??) on 25-Июл-12, 11:51 
не, точно не то. Там статья была со скриншотами графического интерфейса. Может snorby, squert или тому подобное.

> К сожалению пока оба этих продукта на живом проекте протестировать не могу. Если будет возможность, то анализ обоих продуктов обязательно проведу.

было бы интересно.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру