بعد عام من التطوير ، تم إصدار مؤسسة أمن المعلومات المفتوحة (المنظمة الدولية للأمن الإسلامي) معروف من خلال مشاركة مدونة ، إصدار الإصدار الجديد من Suricata 6.0، وهو نظام للكشف عن التسلل في الشبكة والوقاية منه يوفر وسيلة لفحص أنواع مختلفة من حركة المرور.
في هذه الطبعة الجديدة يتم تقديم العديد من التحسينات المثيرة للاهتمام، مثل دعم HTTP / 2 ، وتحسين البروتوكولات المختلفة ، وتحسين الأداء ، من بين تغييرات أخرى.
بالنسبة لأولئك الذين لا يعرفون عن السرقاط ، يجب أن تعلموا أن هذا البرنامج هيقوم على مجموعة من القواعد مطور خارجيا لمراقبة حركة مرور الشبكة وتقديم تنبيهات لمسؤول النظام عند وقوع أحداث مريبة.
في تكوينات Suricata ، يُسمح باستخدام قاعدة بيانات التوقيع التي طورها مشروع Snort ، بالإضافة إلى مجموعات قواعد التهديدات الناشئة والتهديدات الناشئة.
يتم توزيع الكود المصدري للمشروع بموجب ترخيص GPLv2.
الأخبار الرئيسية من Suricata 6.0
في هذا الإصدار الجديد من Suricata 6.0 ، يمكننا العثور على ملف الدعم الأولي لـ HTTP / 2 مع إدخال تحسينات لا حصر لها مثل استخدام اتصال واحد وضغط الرؤوس ، من بين أشياء أخرى.
إلى جانب ذلك تم تضمين دعم بروتوكولات RFB و MQTT ، بما في ذلك تعريف البروتوكول وقدرات التسجيل.
أيضا تم تحسين أداء التسجيل بشكل ملحوظ عبر محرك EVE ، والذي يوفر إخراج JSON من الأحداث. يتم تحقيق التسارع بفضل استخدام مولد الحوض JSON الجديد ، المكتوب بلغة Rust.
زيادة قابلية تطوير نظام تسجيل EVE ونفذت القدرة على الاحتفاظ بملف سجل الفندق لكل بث.
وبالإضافة إلى ذلك، يقدم Suricata 6.0 لغة جديدة لتعريف القواعد الذي يضيف دعمًا للمعامل from_end في الكلمة الأساسية byte_jump ومعامل bitmask في byte_test. بالإضافة إلى ذلك ، تم تنفيذ الكلمة الأساسية pcrexform للسماح للتعبيرات العادية (pcre) بالتقاط سلسلة فرعية.
القدرة على عكس عناوين MAC في سجل EVE وزيادة تفاصيل سجل DNS.
من التغييرات الأخرى التي تبرز من هذا الإصدار الجديد:
- تمت إضافة تحويل urldecode. تمت إضافة الكلمة الأساسية Byte_math.
- القدرة على التسجيل لبروتوكول DCERPC. القدرة على تحديد الشروط لتفريغ المعلومات في السجل
- تحسين أداء محرك التدفق.
- دعم لتحديد تطبيقات SSH (HASSH).
- تنفيذ مفكك ترميز نفق GENEVE.
- تمت إعادة كتابة كود Rust للتعامل مع ASN.1 و DCERPC و SSH. يدعم Rust أيضًا البروتوكولات الجديدة.
- توفير القدرة على استخدام cbindgen لإنشاء روابط في Rust و C.
- تمت إضافة دعم البرنامج المساعد الأولي.
أخيرا إذا كنت تريد معرفة المزيد عنها ، يمكنك التحقق من التفاصيل من خلال الذهاب للرابط التالي.
كيفية تثبيت Suricata على أوبونتو؟
لتثبيت هذه الأداة ، يمكننا القيام بذلك عن طريق إضافة المستودع التالي إلى نظامنا. للقيام بذلك ، ما عليك سوى كتابة الأوامر التالية:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
في حالة وجود Ubuntu 16.04 أو وجود مشاكل في التبعياتيتم حلها بالأمر التالي:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
تم التثبيت ، يوصى بتعطيل أي حزمة ميزات بدون قراءة على NIC التي يستمع إليها Suricata.
يمكنهم تعطيل LRO / GRO على واجهة شبكة eth0 باستخدام الأمر التالي:
sudo ethtool -K eth0 gro off lro off
تدعم ميركات عددًا من أوضاع التشغيل. يمكننا رؤية قائمة بجميع أوضاع التنفيذ بالأمر التالي:
sudo /usr/bin/suricata --list-runmodes
وضع التشغيل الافتراضي المستخدم هو autofp لتقف على "موازنة تلقائية لحمل التدفق الثابت". في هذا الوضع ، يتم تعيين الحزم من كل تدفق مختلف إلى مؤشر ترابط واحد للكشف. يتم تعيين التدفقات إلى المواضيع ذات أقل عدد من الحزم غير المعالجة.
الآن يمكننا المضي قدما إلى بدء Suricata في الوضع المباشر pcapباستخدام الأمر التالي:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal