Релиз системы обнаружения атак Snort 2.9.0
Вышел релиз свободной системы обнаружения и предотвращения атак Snort 2.9.0, которая объединяет в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. Среди важных улучшений можно отметить: режим предотвращения атак (IPS) включает расширение возможностей подсистемы Stream для работы в активном inline-режиме (snort выступает в роли шлюза и позволяет принимать решения о дальнейшем прохождении пакетов в момент их получения, а не на основе пассивного анализа трафика); задействование модуля DAQ, который определяет множество разных методов доступа к получению пакетов, таких как libpcap, netfilterq, IPFW и afpacket; обновление кода инспектирования HTTP-трафика, который теперь может извлекать и использовать IP-адреса из HTTP-заголовков X-Forward-For и True-Client-IP; добавление новой опции 'byte_extract', позволяющей использовать извлеченные в текущем правиле значения внутри следом идущих опций isdataat и byte_test, byte_jump, а также в содержимом distance/within/depth/offset; в SMTP-препроцессоре реализована поддержка декодирования больших MIME-вложений, требующих передачи более одного сетевого пакета; возможность тестирования правил блокирования пакетов; новые опции правил для декодирования и инспектирования base64-блоков данных; улучшение работы кода по декодированию IPv6-пакетов с целью улучшения определения аномалий; добавление примера создания приложений для обработки данных формате unified2, используемом для компактного хранения логов Snort; добавление нового обработчика шаблонов, поддерживающего задействования аппаратных акселераторов, совместимых с Intel Quick Assist Technology, для ускорения сопоставления масок.© Root.UA
