經過一年的發展, 開放信息安全基金會 (OISF) 通過而廣為人知 一篇博客文章 發行新版本的Suricata 6.0,這是一種網絡入侵檢測和防禦系統,它提供了一種檢查各種流量的方法。
在這個新版本中 提出了一些非常有趣的改進,例如對HTTP / 2的支持,對各種協議的改進,性能的改進以及其他更改。
對於那些不知道貓鼬的人,您應該知道該軟件它基於一組規則 外部開發 監控網絡流量 並在發生可疑事件時向系統管理員提供警報。
在Suricata配置中,允許使用由Snort項目開發的簽名數據庫以及Emerging Threats和Emerging Threats Pro規則集。
該項目的源代碼在GPLv2許可下分發。
Suricata 6.0的主要新聞
在此新版本的Suricata 6.0中,我們可以找到 最初對HTTP / 2的支持 引入了無數的改進,例如使用單個連接,壓縮標題等。
除此之外 包括對RFB和MQTT協議的支持, 包括協議定義和日誌記錄功能。
還 註冊性能顯著提高 通過EVE引擎,該引擎提供事件的JSON輸出。 借助使用以Rust語言編寫的新JSON接收器生成器,實現了加速。
EVE註冊系統的可擴展性提高了 並實現了維護每次廣播的酒店日誌文件的功能。
另外, Suricata 6.0引入了新的規則定義語言 這增加了對byte_jump關鍵字中的from_end參數和byte_test中的bitmask參數的支持。 另外,已實現pcrexform關鍵字以允許正則表達式(pcre)捕獲子字符串。
在EVE記錄中反映MAC地址並增加DNS記錄的詳細信息的能力。
, 其他突出的變化 這個新版本:
- 添加了urldecode轉換。 添加了byte_math關鍵字。
- DCERPC協議的日誌記錄功能,可以定義將信息轉儲到日誌中的條件。
- 改進了流量電機性能。
- 支持識別SSH實現(HASSH)。
- GENEVE隧道解碼器的實現。
- 重寫了Rust代碼以處理ASN.1,DCERPC和SSH。 Rust還支持新協議。
- 提供使用cbindgen在Rust和C中生成鏈接的功能。
- 添加了初始插件支持。
終於 如果您想了解更多, 您可以通過以下方式查看詳細信息 到以下鏈接。
如何在Ubuntu上安裝Suricata?
要安裝此實用程序,我們可以通過將以下存儲庫添加到我們的系統中來完成。 為此,只需鍵入以下命令:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
如果有Ubuntu 16.04或依賴項有問題,使用以下命令即可解決:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
安裝完成, 建議禁用任何offloead功能包 在Suricata正在偵聽的NIC上。
他們可以使用以下命令在eth0網絡接口上禁用LRO / GRO:
sudo ethtool -K eth0 gro off lro off
Meerkat支持多種操作模式。 我們可以使用以下命令查看所有執行模式的列表:
sudo /usr/bin/suricata --list-runmodes
使用的默認運行模式是autofp,表示“自動固定流量負載平衡”。 在這種模式下,來自每個不同流的數據包將分配給單個檢測線程。 將流分配給未處理數據包數量最少的線程。
現在我們可以繼續 在pcap實時模式下啟動Suricata,使用以下命令:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal