The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Доступна система обнаружения атак Suricata 8.0

09.07.2025 23:02

После двух лет разработки организация OISF (Open Information Security Foundation) опубликовала релиз системы обнаружения и предотвращения сетевых вторжений Suricata 8.0, которая предоставляет средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2.

Основные изменения:

  • Добавлена экспериментальная возможность использования Suricata в качестве межсетевого экрана. Режим межсетевого экрана позволяет использовать диалект языка правил инспектирования трафика для фильтрации сетевых пакетов.
  • Переработана возможность написания скриптов на языке Lua. В состав кодовой базы интегрирован интерпретатор Lua 5.4, запускаемый в sandbox-окружении, ограничивающем правила на языке Lua (например, из правил не может осуществляться запись в файлы или создаваться сетевые сокеты).
  • Предоставлена возможность динамической (во время работы) регистрации плагинов с парсерами протоколов, детекторами и компонентами для ведения логов.
  • Проведены значительные оптимизации производительности, позволившие ускорить различные аспекты работы движка, включая определение протоколов, загрузку правил и инициализацию. Ускорение достигается благодаря предсказанию переходов, оптимизации хэш-функций, увеличению размера буферов загрузки данных в формате PCAP и переработке синхронизации потоков. Также удалось сократить время запуска Suricata, используя кэширование, расширенную группировку портов и улучшенный алгоритм подстановки IP-адресов.
  • На языке Rust переписаны обработчики LibHTP, FTP, ENIP, а также код разбора MIME-типов, операции byte_extract и декодирования base64.
  • Добавлена поддержка протоколов DoH (DNS over HTTPS), LDAP, mDNS (Multicast DNS) и Websocket.
  • Добавлены новые модули декодирования и ведения логов для протоколов ARP и POP3.
  • Обеспечен разбор трафика SDP поверх SIP и SIP поверх TCP.
  • Расширены возможности движка определения протоколов и построения правил. Для правил реализованы ключевые слова LDAP, MIME/ EMAIL, vlan.id, DNS, SMTP, FTP, TLS, tcp.wscale, pgsql.query, from_base64, entropy, luaxform и mDNS. Добавлены транзакционные правила, позволяющие описать оба направления транзакции в одном правиле.


Особенности Suricata:

  • Использование для вывода результатов проверки унифицированного формата Unified2, также применяемого проектом Snort, что позволяет использовать стандартные инструменты для анализа, такие как barnyard2. Возможность интеграции с продуктами BASE, Snorby, Sguil и SQueRT. Поддержка вывода в формате PCAP;
  • Поддержка автоматического определения протоколов (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB и т.п.), позволяющая оперировать в правилах только типом протокола, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту). Наличие декодировщиков для протоколов HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP, LDAP и SSH;
  • Система анализа HTTP-трафика, использующая для разбора и нормализации HTTP-трафика библиотеку HTP, созданную автором проекта Mod_Security. Доступен модуль для ведения подробного лога транзитных HTTP пересылок (лог сохраняется в стандартном формате Apache). Поддерживается извлечение и проверка файлов, передаваемых по протоколу HTTP, а также разбор сжатого контента. Возможность идентификации по URI, Cookie, заголовкам, user-agent, телу запроса/ответа;
  • Поддержка различных интерфейсов для перехвата трафика, в том числе NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Возможен анализ уже сохранённых файлов в формате PCAP;
  • Высокая производительность, способность обрабатывать на обычном оборудовании потоки в десятки гигабит в cекунду.
  • Высокопроизводительный механизм сопоставления по маске с большими наборами IP-адресов. Поддержка выделения контента по маске и регулярным выражениям. Выделение файлов из трафика, в том числе их идентификация по имени, типу или хэшу.
  • Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать её в других правилах;
  • Использование формата YAML в файлах конфигурации, сочетающего наглядность с лёгкостью машинной обработки;
  • Полная поддержка IPv6;
  • Встроенный движок для автоматической дефрагментации и пересборки пакетов, позволяющий обеспечить корректную обработку потоков, независимо от порядка поступления пакетов;
  • Поддержка протоколов туннелирования: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Поддержка декодирования пакетов: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, ARP, PPPoE, Raw, SLL, VLAN;
  • Режим ведения лога ключей и сертификатов, фигурирующих в соединениях на базе TLS;
  • Возможность написания скриптов на языке Lua для расширенного анализа трафика и реализации дополнительных возможностей, для которых недостаточно стандартных правил.


  1. Главная ссылка к новости (https://suricata.io/2025/07/08...)
  2. OpenNews: Выпуск системы обнаружения атак Suricata 7.0
  3. OpenNews: Релиз Messor, децентрализованной системы для обнаружения вторжений
  4. OpenNews: Обновление системы обнаружения атак Suricata с устранением критической уязвимости
  5. OpenNews: В рамках сообщества wasp-guard началось формирование распределенной системы обнаружения вторжений
  6. OpenNews: Релиз системы обнаружения атак Snort 3
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/63561-suricata
Ключевые слова: suricata, ids, ips
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (36) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Самый Лучший Гусь (?), 00:06, 10/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Подойдет ли для родительского контроля в локальной сети?
     
     
  • 2.2, Аноним (2), 00:20, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Чем люди только ни занимаются, лишь бы детей не воспитывать…
     
     
  • 3.6, Аноним (6), 01:07, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Лучше бы эти люди не лезли к детям со своим "воспитанием". Насмотрелись чуши по телеку и давай детей воспитывать.
     
  • 3.19, КО (?), 09:22, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вот похоже и результат подключился
     
  • 2.3, Аноним (3), 00:44, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да, для контроля родителей подходит
     
     
  • 3.13, Аноним (13), 08:57, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Отключат WiFi и будут через lte смотреть
     
  • 2.4, 12yoexpert (ok), 00:47, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    разве что для защиты детей
     
     
  • 3.5, Аноним (6), 01:06, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Родительский контроль для этого и делают если что.
     
     
  • 4.9, Аноним (2), 03:15, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, это сублимация. Для защиты детей достаточно воспитания. Говорю из опыта, старшая в следующем году заканчивает школу.
     
     
  • 5.28, ffirefox (?), 16:43, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Ну, чтож ... пока всё идет хорошо"- Сказал оптимист пролетая 9 этаж небоскрёба....
     
  • 4.15, 12yoexpert (ok), 09:06, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +3 +/
    нет, его делают, чтобы над детьми издеваться, родители, над которыми издевались в детстве. или просто слабоумные
     
     
  • 5.33, ffirefox (?), 17:17, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Это делают родители, которым не всё равно, что пока ребёнок тратит своё время на "поглощение дерьма", его место в жизни занимают другие.
     
  • 4.18, Аноним (18), 09:18, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А то не дай бог детишки узнают, чем и как мужчины с женщинами в постели занимаются... ужас какой...
    А если серьёзно, то запреты на доступ к информации детям — прямой путь к их аутизму. Вы за ними следить до скольки будете? Пока им тридцатник не стукнет? Проще объяснить что хорошо, а что плохо.
     
     
  • 5.21, Аноним (21), 10:24, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да нет же, смысл в том, чтобы сделать их неприспособленными к миру, а когда стукнет 18 вывернуть их туда! Высший легальный садизм.
     
  • 5.29, ffirefox (?), 16:52, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Да, блин... Откуда же вы такие... Вот самое меньшее, что беспокоит, так это постельные сцены. Пусть хоть обсмотрятся - быстрее внуков принесут. Вот дебилы блогеры, тиктокеры и ломы всякие, неадекваты, фантазёры с видеогенерацией своих приключений, которые формируют примеры поведения - вот проблема. С ними воспитание превращается в уборку в общественном туалете: тут уберут и предупреждение повесят, так в другом месте нагадят. Родителей всего двое, а дебилов в интернете...
     
     
  • 6.34, Аноним (18), 18:58, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда такие недееспособные родители как вы берётесь - вот загадка. Про дебилов в Интернете - вообще ни к селу, ни к городу пример. Во дворе дебилов не было до эры Интернета? Гопников там, нариков. Вы в Нарнии живёте, куда провели морально разлагающий (по вашему мнению) Интернет?
     
  • 6.37, Аноним (2), 21:01, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Всё ж наоборот. Порнуха реально травмирует детей, о чём есть исследования. А вот блогеры-тиктокеры — только если в голове пусто. А пустот там бывает только потому, что родители отдают воспитание на откуп школе, бабушкам и кому угодно, лишь бы после работы сесть и в телек смотреть.
     
  • 5.30, Мемоним (?), 16:56, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    > Проще объяснить что хорошо, а что плохо.

    Конечно, ведь достаточно сказать один раз ребенку "Андрюша, не шуми", как он сразу затихает. Так, да?

     
     
  • 6.31, Мемоним (?), 17:01, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    А что хорошо, ему и без тебя в интернете быстро объяснят. Будешь потом удивляться.
     
  • 6.36, Аноним (2), 20:52, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно, ведь достаточно сказать один раз ребенку "Андрюша, не шуми", как он сразу затихает. Так, да?

    Нет, не так. Нужно с Андрюше объяснить _почему_ не надо шуметь, когда можно шуметь, как шуметь продуктивно, а как — вредно, и так придётся сделать не менее ста раз, каждый раз с любовью и доброжелательностью. Но это не сложно. Сложно делать это консистентно изо дня в день, не забивать и не позволять раздражению и усталости брать верх, не опускаться до «это так потому, что я так сказал», не доводить ситуацию до необходимости наказывать, и вообще помогать ребёнку расти и развиваться, помогать стать лучше родителей во всём.

    И всё это ради того, чтобы через десять лет не настраивать «родительский контроль» на домашнем интернете. Ну и не только для этого конечно, но это основное ;)

     
     
  • 7.38, Мемоним (?), 21:04, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    > чтобы через десять лет

    Т.е. раньше 18 лет что-то объяснять бесполезно. ЧТД.

     
  • 2.7, Аноним (7), 01:41, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Дети нынче умные, обойдут и это.
     
  • 2.22, Аноним (21), 10:39, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    > "Подойдет ли для родительского контроля в локальной сети?"

    Зачем? Если для совсем детей, они в силу своего физиологического возраста ничего не поймут.
    А если по старше, то это уже человек с телефоном, который что нужно через мобильный интернет будет смотреть то что ему нужно.

     
     
  • 3.23, 12yoexpert (ok), 10:54, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +1 +/
    если ребёнок вылез в интернет и чего-то не понимает, то он уже недоразвитый, родительский контроль его уже не испортит, дерзайте
     
  • 3.32, ffirefox (?), 17:12, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    >Зачем? Если для совсем детей, они в силу своего физиологического возраста ничего не поймут.

    Такое "очучение", что вы не вылезли из FidoNet... Это там только рассылали.И если это только физиологического возраста касалось бы... А сейчас работают команды специалистов, чтобы привлечь внимание ребёнка на своё разнообразное дерьмо, с таргетингом по возрасту, полу и интересам. Соревноваться с ними - это как играть любителю с профессионалами в футбол. И беда не только в том, что ребёнок это посмотрит (и возможно, в лучшем случае, просто пожмёт плечами только). Он на это своё самое дорогое, детское время,  отвлекает на это.

    Это как реклама. Вроде бы, а что такого... Не зря же используют блокировщики рекламы.
    Руки перед едой тоже не моете? Это же так укрепляет иммунитет! (Если выживешь, конечно)

     

  • 1.8, IdeaFix (ok), 01:43, 10/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О, кормилец обновился...
     
  • 1.10, Круз (?), 05:26, 10/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > На языке Rust переписаны

    ну вот а я уже ставить собирался

     
     
  • 2.11, Аноним (11), 06:36, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ничего страшного. Rust - нормальный язык. Но не для написания, а для переписывания программ. Так что будет ОК.
     
     
  • 3.14, Аноним (14), 09:06, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Но переписывание может длится долго.
     
     
  • 4.16, 12yoexpert (ok), 09:07, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +2 +/
    как это "может"?
     
  • 3.25, Аноним (25), 11:47, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Раньше там была поддержка куда, с переписыванием на раст куда-то пропала.
     

  • 1.12, Аноним (12), 08:05, 10/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Режим межсетевого экрана позволяет использовать диалект языка правил инспектирования трафика для фильтрации сетевых пакетов.


    а смысл?

     
     
  • 2.20, Величие C над HTML (?), 09:48, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    задай вопросб олее конкретно. не понятна цель вопроса. "смысл чего?" тебе не ясен?
     
     
  • 3.35, Аноним (35), 20:22, 10/07/2025 [^] [^^] [^^^] [ответить]  
  • +/
    для чего нужен фиревол на сурикате?
     

  • 1.17, товарищ майор (?), 09:13, 10/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Вот спасибо, вот молодцы, удружили!

    Сейчас мои лейтехи-то пообнаружовывают атак на традиционные ценности и всяких дискредитаторов!

     
  • 1.27, Аноним (27), 14:37, 10/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите, держу дома MTA на публичном ip.
    Стоит вообще suricata
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру