Vuoden kehityksen jälkeen Avoin tietoturvasäätiö (OISF) kautta tunnetuksi blogikirjoitus, Suricata 6.0: n uuden version julkaisu, joka on verkon tunkeutumisen havaitsemis- ja estojärjestelmä, joka tarjoaa keinot tarkastella erityyppistä liikennettä.
Tässä uudessa painoksessa useita mielenkiintoisia parannuksia on esitetty, kuten tuki HTTP / 2: lle, parannukset erilaisiin protokolliin, suorituskyvyn parannukset, muun muassa.
Niille, jotka eivät tiedä meerkatista, sinun tulisi tietää, että tämä ohjelmisto eSe perustuu sääntöihin ulkoisesti kehitetty verkkoliikenteen seuraamiseksi ja antaa hälytyksiä järjestelmänvalvojalle epäilyttävien tapahtumien sattuessa.
Suricatan kokoonpanoissa on sallittua käyttää Snort-projektin kehittämää allekirjoitustietokantaa sekä Emerging Threats ja Emerging Threats Pro -sääntöjoukkoja.
Projektin lähdekoodi jaetaan GPLv2-lisenssillä.
Suricata 6.0: n pääuutiset
Tästä Suricata 6.0: n uudesta versiosta löytyy alustava tuki HTTP / 2: lle joiden avulla tehdään lukemattomia parannuksia, kuten yhden yhteyden käyttö, otsikoiden pakkaaminen, muun muassa.
Sen lisäksi RFB- ja MQTT-protokollien tuki sisältyi, mukaan lukien protokollan määrittely ja lokiominaisuudet.
myös rekisteröintitulos parani merkittävästi EVE-moottorin kautta, joka tarjoaa JSON-lähdön tapahtumista. Kiihtyvyys saavutetaan uuden Rust-kielellä kirjoitetun JSON-pesuallageneraattorin ansiosta.
Lisännyt EVE-rekisterijärjestelmän skaalautuvuutta ja toteutti kyvyn ylläpitää hotellilokitiedostoa kutakin lähetystä varten.
Lisäksi, Suricata 6.0 esittelee uuden sääntömääritelmän kielen joka lisää tuen parametrille from_end tavua_jump-avainsanalle ja bitmask-parametrille tavua_testi. Lisäksi pcrexform-avainsana on otettu käyttöön, jotta säännölliset lausekkeet (pcre) voivat kaapata alimerkkijonon.
Kyky heijastaa MAC-osoitteita EVE-tietueessa ja lisätä DNS-tietueen yksityiskohtia.
Niistä muut erottuvat muutokset tästä uudesta versiosta:
- Lisätty urldecode-muunnos. Lisätty tavu_maton avainsana.
- DCERPC-protokollan lokikapasiteetti: Kyky määrittää ehdot tietojen kaatamiseksi lokiin.
- Parempi virtausmoottorin suorituskyky.
- Tuki SSH-toteutusten tunnistamiseen (HASSH).
- GENEVE-tunnelidekooderin toteutus.
- Rustikoodi on kirjoitettu uudelleen käsittelemään ASN.1, DCERPC ja SSH. Rust tukee myös uusia protokollia.
- Tarjoa kyky käyttää cbindgeniä linkkien luomiseen Rustiin ja C: hen.
- Lisätty alkuperäinen laajennustuki.
Vihdoin jos haluat tietää enemmän siitä, voit tarkistaa yksityiskohdat menemällä seuraavaan linkkiin.
Kuinka asentaa Suricata Ubuntuun?
Tämän apuohjelman asentamiseksi voimme tehdä sen lisäämällä seuraavan arkiston järjestelmäämme. Voit tehdä tämän kirjoittamalla seuraavat komennot:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
Jos sinulla on Ubuntu 16.04 tai jos sinulla on ongelmia riippuvuuksien kanssa, seuraavalla komennolla se on ratkaistu:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Asennus valmis, on suositeltavaa poistaa kaikki offloead-ominaisuuspaketit käytöstä Suricatan kuuntelemassa verkkokortissa.
He voivat poistaa LRO / GRO: n käytöstä eth0-verkkoliitännässä seuraavan komennon avulla:
sudo ethtool -K eth0 gro off lro off
Meerkat tukee useita toimintatiloja. Voimme nähdä luettelon kaikista suoritustiloista seuraavalla komennolla:
sudo /usr/bin/suricata --list-runmodes
Oletuksena käytetty ajotila on autofp tarkoittaa "automaattista kiinteän virtauksen kuormituksen tasaamista". Tässä tilassa paketit kustakin eri virrasta osoitetaan yhdelle ilmaisulangalle. Virrat on osoitettu ketjuille, joilla on pienin määrä käsittelemättömiä paketteja.
Nyt voimme edetä Käynnistä Suricata pcap-live-tilassa, käyttämällä seuraavaa komentoa:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal