Nooca cusub ee Suricata 6.0 ayaa la soo saaray

Darkcrizt

Daqiiqado 4

Kadib sanad horumarineed, ayaa Aasaaska Amniga Macluumaadka Furan (OISF) lagu ogeysiiyey boostada blog, sii deynta nooca cusub ee Suricata 6.0, taas oo ah nidaam ogaanshaha iyo kahortaga faragelinta shabakad oo bixisa qaab lagu baaro noocyada kala duwan ee taraafikada.

Qoraalkan cusub dhowr horumarin oo aad u xiiso badan ayaa la soo bandhigay, sida taageerada HTTP / 2, hagaajinta borotokollada kala duwan, hagaajinta waxqabadka, iyo isbadalada kale.

Kuwa aan wax ka aqoon meerkat, waa inaad ogaataa in softiweerkan iyoWaxay ku saleysan tahay xeerar go'an dibedda loo horumariyey si loola socdo taraafikada shabakadda oo ogeysiis u siiya maamulaha nidaamka markay dhacaan dhacdooyin shaki leh.

Qaabeynta Suricata, waxaa loo oggol yahay in lagu isticmaalo keyd-saxeexeedka ay soo saartay mashruuca Snort, iyo sidoo kale Hanjabaadaha Soo-baxa iyo Hanjabaadaha Soo-baxa Pro.

Koodhka isha ee mashruuca waxaa lagu qaybiyaa ruqsadda GPLv2.

Wararka ugu muhiimsan ee Suricata 6.0

Qaabkan cusub ee Suricata 6.0 waxaan ka heli karnaa taageerada bilowga ah ee HTTP / 2 kuwaas oo lagu soo kordhiyay horumarin aan la soo koobi karin sida adeegsiga hal isku xirnaanta, isku soo ururin madax, iyo waxyaabo kale.

Taas ka sokow taakuleynta borotokoolka RFB iyo MQTT ayaa lagu daray, oo ay ku jiraan qeexitaanka borotokoolka iyo awooda geedaha.

Sidoo kale waxqabadka diiwaangelinta si weyn baa loo hagaajiyay iyada oo loo marayo mashiinka 'EVE', kaas oo bixiya soosaarka JSON ee dhacdooyinka. Dardargelinta waxaa lagu gaaray mahadnaqa isticmaalka matoorka cusub ee JSON, oo lagu qoray luqadda Rust.

Nidaamka diiwaangelinta ee EVE ayaa kordhay waxaana la hirgaliyay awooda lagu ilaalinayo feylka hoteelka ee baahin kasta.

Sidoo kale, Suricata 6.0 wuxuu soo bandhigayaa luqad qeexaysa qaanuunka cusub kaas oo ku daraya taageerada halbeegga laga bilaabo_end ee erayga byte_jump iyo halbeegga bitmask ee byte_test. Intaa waxaa sii dheer, erayga muhiimka ah ee loo yaqaan 'pcrexform keyword' ayaa la hirgeliyay si loogu oggolaado tibaaxaha caadiga ah (pcre) in ay qabsadaan xarig.

Awoodda ka tarjumeysa cinwaanada MAC ee diiwaanka EVE iyo kordhinta faahfaahinta diiwaanka DNS.

Ee isbeddelada kale ee muuqda ee noocaan cusub:

  • Beddelid urldecode lagu daray Lagu daray keyword_math keyword.
  • Awoodda qoritaanka ee borotokoolka DCERPC Awoodda qeexidda xaaladaha lagu daadinayo macluumaadka galka.
  • Waxqabadka socodka socodka oo hagaagsan.
  • Taageero lagu aqoonsanayo hirgelinta SSH (HASSH).
  • Hirgelinta soodhaweeyaha tunnel-ka GENEVE
  • Koodhka miridhku ee dib loo qoro si loo maareeyo ASN.1, DCERPC, iyo SSH. Miridhku wuxuu kaloo taageeraa maamuuska cusub.
  • Bixi awooda aad ku adeegsan karto cbindgen si aad ugu abuurto isku xirnaanta Rust iyo C.
  • Lagu daray kaalmeyn bilow ah.

Finalmente haddii aad rabto inaad wax badan ka ogaato, waxaad ka hubin kartaa faahfaahinta adigoo tagaya xiriiriyaha soo socda.

Sidee loo rakibaa Suricata Ubuntu?

Si loo rakibo korantadan, waxaan ku sameyn karnaa adoo ku dari doona keydka soo socda nidaamkeena. Si tan loo sameeyo, si fudud u qor amarradan soo socda:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

Haddii ay dhacdo Ubuntu 16.04 ama dhibaato ka haysato ku-tiirsanaanta, amarka soo socda ayaa lagu xalliyaa:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

Rakibaadda ayaa la qabtay, waxaa lagugula talinayaa inaad joojiso wixii xirmo muuqaal ah oo Offloead ah NIC ee Suricata ay ka dhageysaneyso.

Waxay ka joojin karaan LRO / GRO shabakadda shabakadda eth0 adoo adeegsanaya amarka soo socda:

sudo ethtool -K eth0 gro off lro off

Meerkat waxay taageertaa dhowr habab hawlgal. Waxaan arki karnaa liiska dhammaan qaababka fulinta amarka soo socda:

sudo /usr/bin/suricata --list-runmodes

Habka ugu dambeeya ee socodsiinta la isticmaalay ayaa ah "autofp" wuxuu u taagan yahay "isku dheelitirnaanta culeyska socodka socodka tooska ah" Qaabkan, baakadaha ka imanaya durdur kasta oo kala duwan ayaa loo qoondeeyay hal xariiq oo lagu ogaado. Socodka ayaa loo qoondeeyay mawduucyada leh lambarka ugu hooseeya ee xirmooyinka aan la marin.

Hadda waxaan u sii gudbi karnaa ku bilow Suricata qaab toos ah pcap, adoo adeegsanaya amarka soo socda:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.