หลังจากหนึ่งปีของการพัฒนา เปิด Information Security Foundation (โอไอเอสเอฟ) เป็นที่รู้จักผ่าน โพสต์บล็อก การเปิดตัว Suricata 6.0 เวอร์ชันใหม่ซึ่งเป็นระบบตรวจจับและป้องกันการบุกรุกเครือข่ายที่ให้วิธีการตรวจสอบการจราจรประเภทต่างๆ
ในฉบับใหม่นี้ มีการนำเสนอการปรับปรุงที่น่าสนใจหลายประการเช่นการรองรับ HTTP / 2 การปรับปรุงโปรโตคอลต่างๆการปรับปรุงประสิทธิภาพและการเปลี่ยนแปลงอื่น ๆ
สำหรับผู้ที่ไม่ทราบเกี่ยวกับเมียร์แคทคุณควรรู้ว่าซอฟต์แวร์นี้และมันขึ้นอยู่กับชุดของกฎ พัฒนาจากภายนอก เพื่อตรวจสอบการรับส่งข้อมูลเครือข่าย และแจ้งเตือนผู้ดูแลระบบเมื่อเกิดเหตุการณ์ที่น่าสงสัย
ในการกำหนดค่า Suricata อนุญาตให้ใช้ฐานข้อมูลลายเซ็นที่พัฒนาโดยโครงการ Snort ตลอดจนชุดกฎ Emerging Threats และ Emerging Threats Pro
ซอร์สโค้ดของโครงการเผยแพร่ภายใต้ใบอนุญาต GPLv2
ข่าวหลักของ Suricata 6.0
ใน Suricata 6.0 เวอร์ชันใหม่นี้เราสามารถค้นหาไฟล์ การสนับสนุนเบื้องต้นสำหรับ HTTP / 2 ซึ่งมีการปรับปรุงจำนวนนับไม่ถ้วนเช่นการใช้การเชื่อมต่อเดียวการบีบอัดส่วนหัวเป็นต้น
นอกเหนือจากนั้น รองรับโปรโตคอล RFB และ MQTT รวมถึงนิยามโปรโตคอลและความสามารถในการบันทึก
ด้วย ประสิทธิภาพการลงทะเบียนได้รับการปรับปรุงอย่างมีนัยสำคัญ ผ่านเอ็นจิ้น EVE ซึ่งให้เอาต์พุต JSON จากเหตุการณ์ การเร่งความเร็วทำได้ด้วยการใช้ตัวสร้างซิงก์ JSON ใหม่ซึ่งเขียนด้วยภาษา Rust
เพิ่มความสามารถในการปรับขนาดของระบบการลงทะเบียน EVE และใช้ความสามารถในการดูแลรักษาไฟล์บันทึกของโรงแรมสำหรับการออกอากาศแต่ละครั้ง
นอกจากนี้ Suricata 6.0 แนะนำภาษานิยามกฎใหม่ ซึ่งเพิ่มการสนับสนุนพารามิเตอร์ from_end ในคีย์เวิร์ด byte_jump และพารามิเตอร์ bitmask ใน byte_test นอกจากนี้คีย์เวิร์ด pcrexform ได้ถูกนำไปใช้เพื่อให้นิพจน์ทั่วไป (pcre) สามารถจับสตริงย่อยได้
ความสามารถในการสะท้อนที่อยู่ MAC ในบันทึก EVE และเพิ่มรายละเอียดของระเบียน DNS
ของ การเปลี่ยนแปลงอื่น ๆ ที่โดดเด่น ของเวอร์ชันใหม่นี้:
- เพิ่มการแปลง urldecode เพิ่มคีย์เวิร์ด Byte_math
- ความสามารถในการบันทึกสำหรับโปรโตคอล DCERPC ความสามารถในการกำหนดเงื่อนไขในการถ่ายโอนข้อมูลลงในบันทึก
- ปรับปรุงประสิทธิภาพของมอเตอร์ไหล
- รองรับการระบุการใช้งาน SSH (HASSH)
- การใช้งานตัวถอดรหัสอุโมงค์ GENEVE
- เขียนรหัสสนิมใหม่เพื่อจัดการ ASN.1, DCERPC และ SSH Rust ยังรองรับโปรโตคอลใหม่ ๆ
- ให้ความสามารถในการใช้ cbindgen เพื่อสร้างลิงก์ใน Rust และ C
- เพิ่มการสนับสนุนปลั๊กอินเริ่มต้น
ในที่สุด หากคุณต้องการทราบข้อมูลเพิ่มเติม คุณสามารถตรวจสอบรายละเอียดได้โดยไปที่ ไปที่ลิงค์ต่อไปนี้
จะติดตั้ง Suricata บน Ubuntu ได้อย่างไร?
ในการติดตั้งยูทิลิตี้นี้เราสามารถทำได้โดยการเพิ่มที่เก็บต่อไปนี้ในระบบของเรา โดยพิมพ์คำสั่งต่อไปนี้:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
ในกรณีที่มี Ubuntu 16.04 หรือมีปัญหากับการอ้างอิงด้วยคำสั่งต่อไปนี้จะได้รับการแก้ไข:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
การติดตั้งเสร็จสิ้น ขอแนะนำให้ปิดใช้งานชุดคุณลักษณะที่ไม่เหมาะสม บน NIC ที่ Suricata กำลังฟังอยู่
พวกเขาสามารถปิดใช้งาน LRO / GRO บนอินเทอร์เฟซเครือข่าย eth0 โดยใช้คำสั่งต่อไปนี้:
sudo ethtool -K eth0 gro off lro off
เมียร์แคทรองรับโหมดการทำงานหลายโหมด. เราสามารถดูรายการโหมดการดำเนินการทั้งหมดด้วยคำสั่งต่อไปนี้:
sudo /usr/bin/suricata --list-runmodes
โหมดการรันเริ่มต้นที่ใช้คือ autofp ย่อมาจาก ในโหมดนี้แพ็กเก็ตจากแต่ละสตรีมจะถูกกำหนดให้กับเธรดการตรวจจับเดียว โฟลว์ถูกกำหนดให้กับเธรดที่มีจำนวนแพ็กเก็ตที่ยังไม่ได้ประมวลผลต่ำที่สุด
ตอนนี้เราสามารถดำเนินการต่อไปได้ เริ่ม Suricata ในโหมดถ่ายทอดสด pcapโดยใช้คำสั่งต่อไปนี้:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal