The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Релиз системы обнаружения атак Snort 2.9.11.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от opennews (??) on 11-Окт-17, 23:32 
Компания Cisco опубликовала (http://blog.snort.org/2017/10/snort-29110-has-been-released....) релиз Snort 2.9.11.0 (http://www.snort.org),  свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:


-  Реализована гибкая система распределения памяти для препроцессоров, освобождающая неиспользуемую или недавно использованную память при необходимости и позволяющая обойтись без перезапуска Snort при изменении распределения памяти;
-  Добавлена поддержка хранения имён файлов в Unicode для протокола SMB;

-  Для определения и блокирования BitTorrent представлена система версионирования hostPortCache для неизвестных типов потоков в AppID;

-  Улучшен разбор метаданых RTSP для определения RTSP-трафика через Windows Media;

-  Увеличена производительность в ситуациях  достижения лимита на интенсивность SYN-пакетов и начала блокировки превышающего лимит трафика;

-  Для платформы FreeBSD реализована возможность использования unix-сокетов для передачи команд рабочим процессам и включения режима  use_side_channel;
-  Улучшена обработка потоков SIP/RTP и увеличена производительность их обработки;

-  Добавлен лимит на размер распаковываемых данных в форматах  PDF и SWF;

-  Расширены возможности по определению клиента SMTP.


URL: http://blog.snort.org/2017/10/snort-29110-has-been-released....
Новость: https://www.opennet.ru/opennews/art.shtml?num=47371

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от Аноним (??) on 11-Окт-17, 23:32 
Простите за холивар, но что лучше выбрать snort или suricata ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от AntonAlekseevich (ok) on 11-Окт-17, 23:35 
Все в зависимости от ваших задач.
Но рекомендую Snort.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от Аноним (??) on 12-Окт-17, 00:10 
Задачи - сканить трафик, знать не завелось ли в сети чего нехорошего. Блокировать ничего не хочу.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от iCat (ok) on 12-Окт-17, 05:22 
>Задачи - сканить трафик, знать не завелось ли в сети чего нехорошего. Блокировать ничего не хочу.

Есть такая забавная утилитка - EtherApe...
Именно для "посмотреть" и попугать руководство - вполне пригодная.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от AntonAlekseevich (ok) on 12-Окт-17, 10:39 
Можете обойтись NetFilter'ом. Пропишите правила LOG на прероуте в таблице nat и mangle.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Релиз системы обнаружения атак Snort 2.9.11.0"  +1 +/
Сообщение от pavard (ok) on 12-Окт-17, 03:25 
суриката больше заточена на производительность: имеет возможность распараллеливаться на несколько потоков ( 3 стратегии ), работать на гпу. ну и сама по себе лучше развивается. и как бы уже сильно потеснила снорт.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Релиз системы обнаружения атак Snort 2.9.11.0"  –3 +/
Сообщение от Онаним on 12-Окт-17, 05:46 
> Добавлена поддержка хранения имён файлов в Unicode

Ааа! Скоро 2018-й год, а всё-ещё объявляются софты, которые только сейчас добавляют поддержку Unicode...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Релиз системы обнаружения атак Snort 2.9.11.0"  +4 +/
Сообщение от Аноним (??) on 12-Окт-17, 07:32 
>> Добавлена поддержка хранения имён файлов в Unicode
> Ааа! Скоро 2018-й год, а всё-ещё объявляются софты, которые только сейчас добавляют
> поддержку Unicode...

В SMB всегда имена файлы передавались не в UTF, а в разных 8-битных кодировках. Snort теперь будет перекодировать весь этот зоопарк, аля CP1251, в Unicode.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от rshadow (ok) on 12-Окт-17, 14:53 
Я тебе больше скажу, его полной поддержки нет ни в одном ЯП. Соответственно и софт идет со скрипом. Если просто строку вывести - это можно. А как поиск, регэкспы, сетевое хождение, стыковка разных модулей между собой - то это мрак.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Релиз системы обнаружения атак Snort 2.9.11.0"  –1 +/
Сообщение от _ (??) on 12-Окт-17, 18:25 
Да но к примеру в Java и Go это менее мрак чем в к примеру С и С++ ...
И всё потихоньку туда и ползёт, для aplication domain ... so let it be!
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

25. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от Аноним (??) on 13-Окт-17, 06:06 
Не скажу за Go, но в Java, C и C++ всеравно приходится жрать ICU, и хоть ты тресни. Поэтому, никакой разницы не вижу.

Иначе, поясни свои слова.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

31. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от пох on 17-Окт-17, 18:45 
> Да но к примеру в Java и Go это менее мрак чем в к примеру С и С++ ...

в жабе чуть менее просто в силу особенностей применения.
go, насколько я понял, унаследовал все беды от c++
И какая муха, спрашивается, укусила Денниса, что из _уже_ существующего языка, умевшего работать с _байтами_, а не символами (что,на самом деле, и надо в большинстве случаев низкоуровнего программирования), именно это свойство зачем-то было выпилено безвозвратно? При наличии кучи милых конструкций, намертво привязанных к особенностям процессора pdp11.

Все беды современных реализаций в том, что char у нас используется там, где должен был быть byte.
Отсюда и бесконечные костылики и подпорочки.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "Релиз системы обнаружения атак Snort 2.9.11.0"  +2 +/
Сообщение от angra (ok) on 12-Окт-17, 20:53 
Ну чтобы далеко не ходить, чего именно из юникода не хватает в perl?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

23. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от Аноним (??) on 12-Окт-17, 22:04 
Я бы еще спровил про ruby
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от Старый одмин on 12-Окт-17, 22:23 
А я все думал, что >=python3.3, все же является языком программирования.
Ошибся.

А может и нет.
http://pyvideo.org/pycon-us-2013/the-guts-of-unicode-in-pyth...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

29. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от Аноним (??) on 15-Окт-17, 17:40 
Привет старом админу локалхоста! Специально для тебя процитирую определени языка программирования, раз ты состарился, а гугль не освоил:

Язык программи́рования — формальный язык, предназначенный для записи компьютерных программ. Язык программирования определяет набор лексических, синтаксических и семантических правил, определяющих внешний вид программы и действия, которые выполнит исполнитель (обычно — ЭВМ) под её управлением.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

10. "Релиз системы обнаружения атак Snort 2.9.11.0"  +2 +/
Сообщение от Мелоня on 12-Окт-17, 12:01 
Ну допустим меня атаковали, система обнаружила атакера. Что делать дальше? Звонить в полицию?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Релиз системы обнаружения атак Snort 2.9.11.0"  +1 +/
Сообщение от Аноним (??) on 12-Окт-17, 12:07 
Расслабиться и получать удовольствие?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от эцсамое email(ok) on 12-Окт-17, 14:19 
ну, как минимум можно пробить whois'ом адрес и написать в указанный абьюз.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

30. "Релиз системы обнаружения атак Snort 2.9.11.0"  +1 +/
Сообщение от Аноним (??) on 15-Окт-17, 17:52 
> ну, как минимум можно пробить whois'ом адрес и написать в указанный абьюз.

Угу, прямо вот так взять и написать 100к жалоб.
И затем отвечать на 5k вопросов получателей писем счастья.
Попутно узнав про часовые пояса и что whois-сервера банят особо настойчивых.
А так же, что жалобы принято сопровождать netflow.

Более правильный подход: запротоколировать ip-адреса атакующих как участников ботнета и забанить на некоторое время.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от zanswer CCNA RS and S on 12-Окт-17, 14:32 
Заблокировать атакующего, по-моему это очевидно, разве нет?

Существует два основных класса устройств, осуществляющих мониторинг сетевого трафика с целью выявления атак, это IDS и IPS, первые делают это пассивно и не могут сами влиять на трафик, второе делают активно и могут влиять на трафик, блокируя его. Это я в общем говорю, IDS может и активно осуществлять мониторинг, но так обычно не делают.

Что не мешает IDS к слову задействовать для фильтрации внешние устройства, к примеру брандмауэр или же просто ACL на пограничном маршрутизаторе. Snort позволяет вам реализовать IDS, который при определение атаки, будет запускать скрипт, а дальше, делайте, что душе угодно.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от fyf on 12-Окт-17, 16:21 
Ключевое тут сигнатуры, которыми большие дядьки не деляться. А то, что есть под словом коммунити полный треш. А так ИДС и ИПС, какая разница, если вас уже поимели.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от Аноним (??) on 12-Окт-17, 18:44 
Всем они делятся. Могут даже бесплатно, только с задержкой в месяц. Или быстро, да довольно небольшие деньги.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от fyf on 13-Окт-17, 09:10 
вот в том то и дело, что с задержкой в месяц.
уязвимости находятся каждый день, эксплойты так же каждый день.
История с недавним шифровальщиком показало, что все это малоэффективно.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от Аноним (??) on 14-Окт-17, 10:25 
Небольшие??? Почему тогда подписку на свои железки все эти циски-чекпойнты-джуниепры продают за немаленькие деньги?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

32. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от пох on 17-Окт-17, 19:32 
> Небольшие??? Почему тогда подписку на свои железки все эти циски-чекпойнты-джуниепры
> продают за немаленькие деньги?

а ты пахады па базар, паспрашывай - можэт, дэшевлэ кто прэдложыт?

Прикол в том, что сигнатуры (впрочем, там не совсем и не только сигнатуры) к чекпоинту может выпустить только чекпоинт, ни бесплатных нет, ни за деньги нет, а есть только у самого чекпоинта - за всю кучу золота.

а сигнатуры к снорту, было бы время и вдохновение, может начать клепать любой индусско-подданный. В том числе и небесплатно.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

19. "Релиз системы обнаружения атак Snort 2.9.11.0"  +/
Сообщение от _ (??) on 12-Окт-17, 18:30 
Если у тебя есть обвязка _над_ - она должна принять меры для отбоя атаки. Рул в фаер засунуть, к примеру.
Если нет - мониторинг пропищит, или утром сам в логах увидишь и пойдёшь анализировать была ли атака успешной. Ну а дальше - устранять последствия, сочинять как обороняццо и писать обвязку к пп.№ 1 :)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру