经过一年的发展, 开放信息安全基金会 (OISF) 通过而广为人知 一篇博客文章 新版本的Suricata 6.0发行,这是一种网络入侵检测和防御系统,它提供了一种检查各种流量的方法。
在这个新版本中 提出了一些非常有趣的改进,例如对HTTP / 2的支持,对各种协议的改进,性能的改进以及其他更改。
对于那些不知道猫鼬的人,您应该知道该软件和它基于一组规则 外部开发 监控网络流量 并在发生可疑事件时向系统管理员提供警报。
在Suricata配置中,允许使用由Snort项目开发的签名数据库以及Emerging Threats和Emerging Threats Pro规则集。
该项目的源代码是根据GPLv2许可证分发的。
Suricata 6.0的主要新闻
在此新版本的Suricata 6.0中,我们可以找到 最初对HTTP / 2的支持 引入了无数的改进,例如使用单个连接,压缩标题等。
除此之外 包括对RFB和MQTT协议的支持, 包括协议定义和日志记录功能。
还 注册性能显着提高 通过EVE引擎,该引擎提供事件的JSON输出。 得益于使用以Rust语言编写的新JSON接收器生成器,实现了加速。
EVE注册系统的可扩展性提高了 并实现了维护每次广播的酒店日志文件的功能。
另外, Suricata 6.0引入了新的规则定义语言 这增加了对byte_jump关键字中的from_end参数和byte_test中的bitmask参数的支持。 此外,已实现pcrexform关键字以允许正则表达式(pcre)捕获子字符串。
在EVE记录中反映MAC地址并增加DNS记录的详细信息的能力。
, 其他突出的变化 这个新版本:
- 添加了urldecode转换。 添加了byte_math关键字。
- DCERPC协议的日志记录功能,可以定义将信息转储到日志中的条件。
- 改进了流量电机性能。
- 支持识别SSH实现(HASSH)。
- GENEVE隧道解码器的实现。
- 重写了Rust代码以处理ASN.1,DCERPC和SSH。 Rust还支持新协议。
- 提供使用cbindgen在Rust和C中生成链接的功能。
- 添加了初始插件支持。
最后 如果您想了解更多, 您可以通过以下方式查看详细信息 到以下链接。
如何在Ubuntu上安装Suricata?
要安装此实用程序,我们可以通过将以下存储库添加到我们的系统中来完成。 为此,只需键入以下命令:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
如果有Ubuntu 16.04或依赖项有问题,使用以下命令即可解决:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
安装完成, 建议禁用任何offloead功能包 在Suricata正在侦听的NIC上。
他们可以使用以下命令在eth0网络接口上禁用LRO / GRO:
sudo ethtool -K eth0 gro off lro off
Meerkat支持多种操作模式。 我们可以使用以下命令查看所有执行模式的列表:
sudo /usr/bin/suricata --list-runmodes
使用的默认运行模式是autofp,表示“自动固定流负载平衡”。 在这种模式下,来自每个不同流的数据包将分配给单个检测线程。 将流分配给未处理数据包数量最少的线程。
现在我们可以继续 在pcap实时模式下启动Suricata,使用以下命令:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal