Suricata

Suricata IDS / IPS-motor är multi-threaded och har inbyggt IPv6-stöd. Den kan ladda befintliga Snort-regler och signaturer och stöder Barnyard och Barnyard2-verktygen.

Du bör försöka Suricata eftersom den är mycket skalbar, den känner igen de flesta vanliga protokoll, och det kan identifiera tusentals filtyper, kolla MD5 checksums och extrahera filer från arkiv.

Suricata är en plattformsapplikation som framgångsrikt kan användas på operativsystem GNU / Linux, BSD (FreeBSD och OpenBSD), Microsoft Windows och Mac OS X.

Programvaran distribueras endast som ett källarkiv, vilket måste konfigureras och sammanställas före installationen. Du kan dock enkelt installera den från standardprogramvaran för Linux-distributionen. Både 32-bitars och 64-bitars maskinplattformar stöds.

Den bästa IDS- och IPS-mjukvaran baserad på öppen källteknik

Suricata är utan tvekan det bästa IDS-systemet (Intrusion Detection System) och IPS (Intrusion Prevention System) programvara som någonsin byggts, drivs endast av öppen källteknik.

Vad är nytt i den här utgåvan:

• Säkerhet:
• CVE-2018-10242, CVE-2018-10244 (suricata)
• CVE-2018-10243 (libhtp)
• Ändringar:
• Fel # 2480: http eve loggdatakälla / dest flip (4.0.x)
• Fel # 2482: HTTP-anslutning: Skillnad i detekteringsfrekvensen mellan 3.1 och 4.0.x
• Fel # 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
• Bug # 2532: memleak: när du använder app-layer händelsebestämmelser utan rost
• Fel # 2533: Suricata gzip packar ompaket (4.0.x)
• Fel # 2534: Suricata slutar inspektera TCP-ström om en TCP RST var uppfylld (4.0.x)
• Fel # 2535: Meddelanden med SC_LOG_CONFIG-nivå loggas till syslog med EMERG-prioritet (4.0.x)
• Fel # 2537: libhtp 0.5.27 (4.0.x)
• Bugg # 2540: getrandom förhindrar eventuella startkommandon för suricata på mer senare operativsystem (4.0.x)
• Bugg # 2544: ssh out of bounds read (4.0.x)
• Bug # 2545: Enip out of bounds read (4.0.x)

Vad är nytt i version 4.0.4:

• Säkerhet:
• CVE-2018-6794 begärdes för nummer # 2440
• Ändringar:
• Bug # 2306: suricata 4 deadlocks under misslyckad återkoppling av loggfilen
• Fel # 2361: reglera omladdning av lagring
• Fel # 2389: BUG_ON hävdar i AppLayerIncFlowCounter (4.0.x)
• Fel # 2392: libhtp 0.5.26 (4.0.x)
• Fel # 2422: [4.0.3] av_packet: en läcka som möjligen bryter en inline-kanal
• Bugg # 2438: olika konfigurationsproblem för konfiguration
• Bug # 2439: Fix timestamp offline när tidsstämpel för datortid är noll (4.0.x)
• Bugg # 2440: strömma bypass-problem (4.0.x)
• Fel # 2441: der parser: Dålig ingång förbrukar cpu och minne (4.0.x)
• Fel # 2443: DNP3 memcpy buffer overflow (4.0.x)
• Bug # 2444: rost / dns: Core Dump med felformad trafik (4.0.x)
• Fel # 2445: http-kroppar / file_data: Skapa skapning av trådutrymme utanför gränserna

Vad är nytt i version:

• Funktion # 2245: avkodare för ieee802.1AH-trafik
• Bug # 798: stats.log i yaml config - lägg till alternativ - saknas
• Bug # 891: detect-engine.profile tar inte bort felaktiga värden - suricata.yaml
• Fel # 961: Maximal väntande paket variabel parsing
• Bugg # 1185: napatech: cppcheck varning
• Fel # 2215: Förlorade händelser skrivande till unix-uttag
• Fel # 2230: valgrind memcheck - 4.0.0-dev (rev 1180687)
• Bug # 2250: detektera: blanda byte_extract och isdataat leder till FP & FN
• Fel # 2263: innehållsöverensstämmelser ignoreras när du använder dns_query på utp-trafik
• Fel # 2274: ParseSizeString i util-misc.c: Null-pointer dereference
• Fel # 2275: ConfGetInt i conf.c: NULL-pointer dereference
• Fel # 2276: conf: NULL-pekare dereference i CoredumpLoadConfig
• Fel # 2293: regler: djup & lt; innehållsreglerna avvisas inte
• Fel # 2324: segfault i http_start (4.0.x)
• Fel # 2325: Suricata segfaults på ICMP och flödesintegration (4.0.x)

Vad är nytt i version 4.0.1:

• Förbättrad upptäckt:
• Baserat på värdefull feedback från regelskrivande lag på nya hot och positiva teknologier har vi lagt till och förbättrat många regelord för inspektion av HTTP, SSH och andra protokoll. TLS-tillägg bidrog av Mats Klepsland till NorCERT, inklusive avkodning, loggning och matchning på TLS serienummer. Dessutom tillåter Suricata nu regelskribenter att ange vem som är målet i en signatur. Denna information används i EVE JSON-loggning för att ge mer sammanhang med varningar.
• TLS förbättrad, NFS tillagd:
• Mer på TLS-sidan: En stor ny funktion är stöd för STARTTLS i SMTP och FTP. TLS-sessioner kommer nu att loggas i dessa fall. Mer godhet från Mats Klepsland. Dessutom stöds TLS-sessionens återupptagningsloggning tack vare Ray Ruvinskiys arbete. Ytterligare TLS loggar förbättringar gjordes av Paulo Pacheco.
• NFS-avkodning, loggning och filutvinning tillsattes som en del av experimentell Rust-stöd. Läs vidare för mer information om Rust.
• Mer EVE JSON:
• EVE utökas på flera sätt ...
• Vid inkapslad trafik loggas både de inre och yttre IP-adresserna och portarna
• 'vars' loggar flödesbitar och andra vars. Detta kan också användas för att logga ut data från trafik med ett PCRE-meddelande i regler
• EVE kan nu roteras baserat på tid
• EVE förlängdes för att eventuellt logga in HTTP-förfrågan och / eller svarkroppar
• Den (partiella) flödesrekordet läggs till i varningsrekord.
• "vars" -anläggningen är en av de viktigaste förbättringarna här, eftersom det nu är möjligt för en underskrift att noggrant ta bort information för loggning. Till exempel kan en signatur extrahera en annonserad mjukvaruversion eller annan information, såsom mottagaren av ett e-postmeddelande. [Https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Första steget i en säkrare framtid:
• Det här är den första versionen där vi har implementerat delar på Rust-språket med hjälp av Nom parser-ramen. Detta arbete är inspirerat av Pierre Chiffliers '(ANSSI), prata på SuriCon 2016 (pdf). Genom att kompilera med -enable-rost får du en grundläggande NFS-parser och en återimplementering av DNS-parsern. Feedback på detta är mycket uppskattat.
• Roststödet är fortfarande experimentellt, eftersom vi fortsätter att utforska hur det fungerar, utför och vad det kommer att ta för att stödja det i samhället. Dessutom inkluderade vi Pierre Chiffliers Rust parsers arbete. Detta använder externa Rust parser "kasser" och aktiveras genom att använda -enable-rust-experimental. I början lägger detta till en NTP-parser.
• Under huven:
• En stor uppdatering av TCP-strömmotor ingår. Detta bör leda till bättre prestanda och mindre konfiguration, särskilt i IPS-läge. Första stegen i TCP GAP-återhämtning togs med implementeringar för DNS och NFS.
• För utvecklare gör den här utgåvan mycket enklare för att utöka detektionsmotorn med högpresterande nyckelord. Om du lägger till ett nytt högpresterande sökord med hjälp av mönstermatchning krävs nu bara några rader med kod.
• Dokumentation:
• David Wharton på SecureWorks har skapat en del i dokumentationen för regelskribenter som har en bakgrund i Snort. Det dokumenterar ändringar som är relevanta för skrivregler.
• Nästa steg:
• Baserat på feedbacken får vi vi förväntar oss att göra en 4.0.1-utgåva om en månad eller så. Då börjar vi arbeta med nästa stora utgåva, som är 4,1. Detta planeras för senhöst, ETA före SuriCon i Prag.

Vad är nytt i version 4.0.0:

• Förbättrad upptäckt:
• Baserat på värdefull feedback från regelskrivande lag på nya hot och positiva teknologier har vi lagt till och förbättrat många regelord för inspektion av HTTP, SSH och andra protokoll. TLS-tillägg bidrog av Mats Klepsland till NorCERT, inklusive avkodning, loggning och matchning på TLS serienummer. Dessutom tillåter Suricata nu regelskribenter att ange vem som är målet i en signatur. Denna information används i EVE JSON-loggning för att ge mer sammanhang med varningar.
• TLS förbättrad, NFS tillagd:
• Mer på TLS-sidan: En stor ny funktion är stöd för STARTTLS i SMTP och FTP. TLS-sessioner kommer nu att loggas i dessa fall. Mer godhet från Mats Klepsland. Dessutom stöds TLS-sessionens återupptagningsloggning tack vare Ray Ruvinskiys arbete. Ytterligare TLS loggar förbättringar gjordes av Paulo Pacheco.
• NFS-avkodning, loggning och filutvinning tillsattes som en del av experimentell Rust-stöd. Läs vidare för mer information om Rust.
• Mer EVE JSON:
• EVE utökas på flera sätt ...
• Vid inkapslad trafik loggas både de inre och yttre IP-adresserna och portarna
• 'vars' loggar flödesbitar och andra vars. Detta kan också användas för att logga ut data från trafik med ett PCRE-meddelande i regler
• EVE kan nu roteras baserat på tid
• EVE förlängdes för att eventuellt logga in HTTP-förfrågan och / eller svarkroppar
• Den (partiella) flödesrekordet läggs till i varningsrekord.
• "vars" -anläggningen är en av de viktigaste förbättringarna här, eftersom det nu är möjligt för en underskrift att noggrant ta bort information för loggning. Till exempel kan en signatur extrahera en annonserad mjukvaruversion eller annan information, såsom mottagaren av ett e-postmeddelande. [Https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Första steget i en säkrare framtid:
• Det här är den första versionen där vi har implementerat delar på Rust-språket med hjälp av Nom parser-ramen. Detta arbete är inspirerat av Pierre Chiffliers '(ANSSI), prata på SuriCon 2016 (pdf). Genom att kompilera med -enable-rost får du en grundläggande NFS-parser och en återimplementering av DNS-parsern. Feedback på detta är mycket uppskattat.
• Roststödet är fortfarande experimentellt, eftersom vi fortsätter att utforska hur det fungerar, utför och vad det kommer att ta för att stödja det i samhället. Dessutom inkluderade vi Pierre Chiffliers Rust parsers arbete. Detta använder externa Rust parser "kasser" och aktiveras genom att använda -enable-rust-experimental. I början lägger detta till en NTP-parser.
• Under huven:
• En stor uppdatering av TCP-strömmotor ingår. Detta bör leda till bättre prestanda och mindre konfiguration, särskilt i IPS-läge. Första stegen i TCP GAP-återhämtning togs med implementeringar för DNS och NFS.
• För utvecklare gör den här utgåvan mycket enklare för att utöka detektionsmotorn med högpresterande nyckelord. Om du lägger till ett nytt högpresterande sökord med hjälp av mönstermatchning krävs nu bara några rader med kod.
• Dokumentation:
• David Wharton på SecureWorks har skapat en del i dokumentationen för regelskribenter som har en bakgrund i Snort. Det dokumenterar ändringar som är relevanta för skrivregler.
• Nästa steg:
• Baserat på feedbacken får vi vi förväntar oss att göra en 4.0.1-utgåva om en månad eller så. Då börjar vi arbeta med nästa stora utgåva, som är 4,1. Detta planeras för senhöst, ETA före SuriCon i Prag.

Vad är nytt i version 3.2.1:

• Funktion # 1951: Tillåt byggnad utan libmagic / file
• Funktion # 1972: SURICATA ICMPv6 okänd typ 143 för MLDv2 rapport
• Funktion # 2010: Suricata ska bekräfta SSSE3 närvaro vid körning när den är byggd med Hyperscan support
• Fel # 467: sammanställning med unittests & debug validation
• Bugg # 1780: VLAN-taggar skickas inte i paketet inline-läge
• Fel # 1827: Mpm AC misslyckas med att ange minne
• Bug # 1843: Mpm Ac: int överflöde under init
• Bugg # 1887: PCAP-logg sätter snaplen till -1
• Bug # 1946: kan inte få svarinfo i vissa situationer
• Fel # 1973: suricata misslyckas med att starta på grund av unix-uttag
• Fel # 1975: hostbits / xbits minne läckage
• Bug # 1982: tls: Ogiltig rekordhändelse triggar på giltig trafik
• Fel # 1984: http: protokolldetekteringsproblem om båda sidorna är felaktiga
• Bug # 1985: PCAP-log: mindre minnesläckor
• Bugg # 1987: log-PCP: PCAP-filer skapade med ogiltigt snaplen
• Fel # 1988: tls_cert_subject bugg
• Bug # 1989: Detektering av SMTP-protokoll är skiftlägeskänslig
• Fel # 1991: Suricata kan inte analysera hamnar: "! [1234, 1235]"
• Fel # 1997: tls-store: Fel som orsakar Suricata att krascha
• Fel # 2001: Hantering av oönskade DNS-svar.
• Fel # 2003: BUG_ON-kroppen innehåller ibland sidoeffektuell kod
• Fel # 2004: Ogiltig beräkning av hashhantering vid användning av force-hash
• Fel # 2005: Sammanhängande storlekar mellan begäran, fånga och http-längd
• Fel # 2007: smb: protokolldetektering kontrollerar bara servern
• Fel # 2008: Suricata 3.2, PCAP-log fungerar inte längre tack vare Timestamp_pattern PCRE
• Fel # 2009: Suricata kan inte ladda ner inställningar när de körs under icke-rot
• Fel # 2012: dns.log loggar inte in obesvarade frågor
• Fel # 2017: EVE-logg saknas fält
• Fel # 2019: IPv4-defragmentproblem
• Bugg # 2022: dns: läsning utan bindning

Vad är nytt i version 3.2:

• Stora förändringar:
• bypass
• förfilter - snabbpaketssökord
• TLS-förbättringar
• SCADA / ICS-protokolltillägg: DNP3 CIP / ENIP
• SHA1 / SHA256 för fil matchning, loggning och extraktion
• Sphinx dokumentation
• Synliga mindre förändringar:
• NIC-avläsning avaktiverad som standard
• Unix-kommandotillgängligt som standard
• Applagsstatistik
• Under huven:
• förenkling av tråden (log api + ingen mer tråd omstartar)
• Optimering av flödeshanteraren
• Förenkla lägga till sökord
• Förbättrade förbättringar om minneshantering i stora utplaceringar

Vad är nytt i version 3.1.2:

• Funktion # 1830: stödja "tagg" i e-logg
• Funktion # 1870: gör loggad flow_id mer unik
• Funktion # 1874: Stöd Cisco Fabric Path / DCE
• Funktion # 1885: eve: lägg till alternativ för att logga alla tappade paket
• Funktion # 1886: dns: utgångsfiltrering
• Fel # 1849: Felaktig kontrollsumma ICMPv6 om Ethernet FCS är närvarande
• Fel # 1853: Fix dce_stub_data buffert
• Bugg # 1854: unified2: loggning av taggade paket fungerar inte
• Fel # 1856: PCAP-lägesenhet hittades inte
• Fel # 1858: Massor av TCP "duplicerat alternativ / DNS-felformad begäran data" efter uppgradering från 3.0.1 till 3.1.1
• Fel # 1878: dns: krasch medan du loggar in sshfp-poster
• Fel # 1880: Felmeddelanden i icmpv4 kan leda till missad detektering i tcp / udp
• Fel # 1884: libhtp 0.5.22

Vad är nytt i version 3.1.1:

• Funktion # 1775: Lua: SMTP-stöd
• Fel # 1419: Problem med hantering av DNS-transaktioner
• Fel # 1515: Problem med Threshold.config när du använder mer än en IP
• Bugg # 1664: Oreparerade DNS-frågor som inte loggats när flödet är gammalt
• Fel # 1808: Kan inte ställa in trådprioritet efter att ha tappat privilegier
• Bugg # 1821: Suricata 3.1 misslyckas med att starta på CentOS6
• Fel # 1839: suricata 3.1 configure.ac säger & gt; = libhtp-0.5.5, men & gt; = libhtp-0.5.20 krävs
• Bugg # 1840: -list-keywords och -list-app-layer-protos fungerar inte
• Fel # 1841: libhtp 0.5.21
• Bugg # 1844: netmap: IPS-läget ställer inte in andra iface i promisc-läge
• Bugg # 1845: Krasch om att inaktivera ett applagsprotokoll när loggen fortfarande är aktiverad
• Optimering # 1846: av-paket: förbättra trådberäkningslogiken
• Optimering # 1847: Regler: varna inte om tomma filer

Vad är nytt i version 3.0.1:

• förbättrade detekteringsalternativ, inklusive multi-tenancy och xbits
• prestanda och skalbarhet mycket förbättrad
• mycket bättre noggrannhet och robusthet
• Skanningskapaciteten i Lua expanderades väsentligt
• många förbättringar i produktionen, inklusive mycket mer JSON
• NETMAP-fångstmetodstöd, särskilt intressant för FreeBSD-användare
• SMTP-inspektion och filutvinning

Vad är nytt i version 3.0:

• förbättrade detekteringsalternativ, inklusive flerhyres- och xbits
• prestanda och skalbarhet mycket förbättrad
• mycket bättre noggrannhet och robusthet
• Skanningskapaciteten i Lua expanderades väsentligt
• många förbättringar i produktionen, inklusive mycket mer JSON
• NETMAP-fångstmetodstöd, särskilt intressant för FreeBSD-användare
• SMTP-inspektion och filutvinning

Vad är nytt i version 2.0.9:

• Ändringar:
• Fel # 1385: DCERPC-trafikparseringsproblem
• Fel # 1391: http uri parsing problem
• Bugg # 1383: tcp midstream window issue
• Bugg # 1318: Ett trådsynkroniseringsproblem i streamTCP
• Bugg # 1375: Regressions i listordsalternativ
• Bugg # 1387: PCAP-filen hänger på system utan atomstöd
• Bugg # 1395: felmeddelande för dump-counters unix-socket kommando
• Optimering # 1376: Fillistan rengörs inte
• Säkerhet:
• Analysproblemet med DCERPC har CVE-2015-0928 tilldelat det.

Vad är nytt i version 2.0.7:

• Ändringar:
• Fel # 1385: DCERPC-trafikparseringsproblem
• Fel # 1391: http uri parsing problem
• Bugg # 1383: tcp midstream window issue
• Bugg # 1318: Ett trådsynkroniseringsproblem i streamTCP
• Bugg # 1375: Regressions i listordsalternativ
• Bugg # 1387: PCAP-filen hänger på system utan atomstöd
• Bugg # 1395: felmeddelande för dump-counters unix-socket kommando
• Optimering # 1376: Fillistan rengörs inte
• Säkerhet:
• Analysproblemet med DCERPC har CVE-2015-0928 tilldelat det.

Vad är nytt i version 2.0.6:

• Bugg # 1364: evasion issues
• Bugg # 1337: output-json: duplicera loggning
• Bug # 1325: tls detektering leder till tcp stream reassembly sequence gap (IPS)
• Bug # 1192: Suricata kompilerar inte på OS X / Clang på grund av omdefiniering av strängfunktioner
• Bugg # 1183: PCAP: cppcheck warning

Vad är nytt i version 2.0.5:

• Fel nr 1190: http_header-nyckelordet matchar inte när SYN | ACK och ACK saknas
• Bug # 1246: EVE-utgång Unix domänuttag fungerar inte
• Bugg # 1272: Segfault i libhtp 0.5.15
• Bugg # 1298: Filestore sökordsanalysproblem
• Bugg # 1303: förbättra strömdetektering av dålig fönsteruppdatering
• Fel # 1304: förbättra strömhanteringen av dåliga SACK-värden
• Fel # 1305: fixa tcp-sessionens återanvändning för ssh / ssl-sessioner
• Bugg # 1307: byte_extract, inom kombinationen fungerar inte
• Bugg # 1326: PCre Pkt / Flödesvarfångning bruten för icke-relativa matchningar
• Fel # 1329: Ogiltig regel som behandlas och laddas
• Bugg # 1330: Flödesminnesbokhållningsfel (2.0.x)

Vad är nytt i version 2.0.4:

• Ändringar:
• Bugg # 1276: ipv6 defrag problemet med routing headers
• Bugg # 1278: ssh banner parser problem
• Bug # 1254: sigparsing krasch på felformat rev nyckelord
• Bugg # 1267: problemet med ipv6-loggning
• Bugg # 1273: Lua - http.request_line fungerar inte
• Bugg # 1284: AF_PACKET IPS-läget loggar inte och sänker inline-problemet
• Säkerhet:
• CVE-2014-6603

Vad är nytt i version 2.0.3:

• Bug # 1236: fixa potentiell krasch i http-parsing
• Bugg # 1244: ipv6 defrag problemet
• Bug # 1238: Möjlig evasion i stream-tcp-reassemble.c
• Bugg # 1221: liten konverterings tabell saknar senaste värde
• Support # 1207: Kan inte kompilera på CentOS 5 x64 med -enable-profiling
• Uppdaterad bunden libhtp till 0.5.15

Vad är nytt i version 2.0 RC1:

• Unified JSON-utgången tillsattes. VLAN-hanteringen förbättrades.
• QinQ-stöd har lagts till.
• Ett kommandoradsalternativ för överordnade konfigurationsinställningar har lagts till.
• ICMPv6 hantering förbättrades.
• Memcaps för DNS- och HTTP-hantering har lagts till.
• Flera paketförbättringar gjordes.
• En optimerad NSM-runmode tillsattes.
• Många andra problem har åtgärdats.

Vad är nytt i version 2.0 Beta 2:

• VLAN-supporten förbättrades.
• IP Defrag-alternativ har lagts till.
• Alternativ har lagts till för att aktivera och inaktivera protokollparsers.
• Protokolldetektering förbättrades.
• IPv6-förbättringar gjordes.
• HTTP-inspektion förbättrades.
• Profileringsalternativen utvidgades.
• Många fler ändringar gjordes.

Vad är nytt i version 1.4.7:

• Korrigeringar:
• Bugg # 996: taggar nyckelord: taggningssessioner per gång är trasiga
• Bugg # 1000: fördröjda detekteringsgränser före de_ctx
• Fel # 1001: ip_rep laddar problem med flera värden för en enda ip
• Bug # 1022: StreamTcpPseudoPacketSetupHeader: portbyteslogik är inte konsekvent
• Bug # 1047: detect-engine.profile - anpassat värde parsing broken
• Fel # 1063: regelbeställning med flera vars

Vad är nytt i version 1.4.6:

• Fel 958: felaktiga SSL-poster som leder till krasch. Rapporterad av Sebastian Roschke. CVE-2013-5919.
• Bug 971: AC-mönsterkompatibilitet utan gränser minnesläs.
• Bug 965: förbättra negerad innehållshantering. Rapporteras av Will Metcalf.
• Bug 937: fix IPv6-i-IPv6-avkodning.
• Fel 934: förbättra adressparsing.
• Bug 969: fix unified2 loggar inte taggade paket.

Vad är nytt i version 1.4.5:

• IPv6-problem fixades.