Выход Snort, популярной свободной системы обнаружения атак (IDS), версии 2.4.5 завершает развитие ветки 2.4.x. И одновременно с ней выпущена первая версия новой ветки проекта — Snort 2.6.0. В Snort 2.6 проведена работа по увеличению производительности, появилась реализация системы динамических правил и динамических предпроцессоров. В обеих версиях усовершенствована обработка RPC-вызовов, улучшена работа систем определения факта сканирования портов и контроля HTTP-соединений. Home_http://www.snort.org/ Downloads (~3,17 Mb)_http://www.snort.org/...t-2.6.0.tar.gz 2.4.5 (~2,69 Mb)_http://www.snort.org/...t-2.4.5.tar.gz
* Updates PCRE libraries used in Windows builds * Fixes an issue with Stream5 debugging * Corrects a calculation in perfmonitor Downloads_http://www.snort.org/...2.8.0.1.tar.gz
2008-07-24 - Snort 2.8.2.2 [*] Improvements * Fix issue with evaluating PCRE rule options with /U modifier that are followed by a relative content rule option.
* Fix issue with dsize range check.
2008-06-12 - Snort 2.8.2.1 [*] Improvements * Fix support for pass rules that sometimes did not take precedence over alert and/or drop rules.
2008-05-28 - Snort 2.8.2 [*] New Additions * Performance improvements in fast pattern matcher CPU caching and rules processing for common rule options. Downloads (~4,2 Mb)_http://www.snort.org/...2.8.2.2.tar.gz
ЭЖД, 6.09.2008 - 8:42
snort 2.8.3
New Additions * New Feature for HTTP Inspect to split requests into 5 components - Method, URI, Header (non-cookie), Cookies, Body. Added HTTP server specific configurations to normalize HTTP header and/or cookie buffers. Provided content and PCRE modifiers to allow searches within one or more of those individual buffers. Added content modifier to allow rule writer to specify content to be used for fast pattern matcher. Updated dynamic rule API to allow searches within the new buffers.
* Support for MPLS decoding.
* New option to rule and preprocessor profiling configuration for logging to file instead of syslog.
Improvements * Update to fix compilation issue on HPUX machines related to rule and preprocessor performance profiling.
* Update to correct the wording of IP datagram length being greater than the captured length decoder alert.
* Update to correct logging issue when using 'ruletype' keyword.
Snort 2.8.4 introduces: - A revised DCE/RPC preprocessor with more rule options With the new DCE/RPC preprocessor, there will be a number of updates to the rules. Please be sure to update your rules to the latest when that package is available (next few days). - Support for IPv6 in Frag3 and all application preprocessors - Improved target-based support in preprocessors - Option to automatically pre-filter traffic that is not inspected in order to improve performance - Several other improvements and fixes Downloads (~4,4 Mb)_http://www.snort.org/dl/snort-2.8.4.tar.gz
ЭЖД, 28.04.2009 - 20:06
Snort 2.8.4.1
Snort 2.8.4.1 addresses several issues:
Adds new DCE/RPC preprocessor to the RPM files
Fixes an issue with the database output plugin that caused Snort to not insert records into the sensor table
Fixes issues with parsing of IP variables with IPv6 support
Fixes handling of a simultaneous ACK and RST, when Stream5 option require_3whs was enabled and the session had timed out
Ability to specify multiple configurations (snort.conf and everything it includes), bound either by Vlan ID or IP Address. This allows you to run one instance of Snort with multiple snort.conf files, rather than having separate processes. See README.multipleconfigs for details.
Continued inspection of traffic while reloading a configuration.
Add --enable-reload option to your configure script prior to building. See README.reload for details.
Rate Based Attack Prevention for Connection Attempts, Concurrent Connections, and improved rule/event filtering. See README.filters for details.
Improvements * General code improvements and clean up in the rpc preprocessor related to the processing of Sun rpc data.
* Fixed an issue where, under particular conditions, a reload of the Snort configuration file without a restart would cause Snort to stop responding. Downloads (~4,6 Mb)_http://dl.snort.org/s...2.8.5.3.tar.gz
ЭЖД, 27.04.2010 - 19:05
snort 2.8.6
New Additions * HTTP Inspect now splits requests into 5 components - Method, URI, Header (non-cookie), Cookies, Body. Content and PCRE rule options can now search one or more of these buffers.
HTTP server-specific configurations to normalize the HTTP header and/or cookies have been added.
Support gzip decompression across multiple packets.
* Added a Sensitive Data preprocessor, which performs detection of Personally Identifiable Information (PII). A new rule option is available to define new PII. See README.sensitive_data and the Snort Manual for configuration details.
* Added a new pattern matcher and related configurations. The new pattern matcher is optimized to use less memory and perform at AC speed.
Improvements * Addressed problem to resolve output obfuscation affecting packets when Snort is inline.
* Preprocessors with memcap settings can now be configured in a "disabled" state. This allows you to configure that memcap globally, but only enable the preprocessor in targeted configurations. Downloads (~4,7 Mb)_http://dl.snort.org/s...t-2.8.6.tar.gz
* Режим предотвращения атак (IPS) включает расширение возможностей подсистемы Stream (обработчик/сборщик TCP-потоков для контроля за отдельными сессиями) для работы в активном inline-режиме (snort выступает в роли шлюза и позволяет принимать решения о дальнейшем прохождении пакетов в момент их получения, а не на основе пассивного анализа трафика). Реакция для всех пакетов теперь задается через единый API, поддерживающий модули Stream, Respond и React. Добавлен новый модуль реакции - respond3, поддерживающий синтаксис как модуля resp, так и resp2, включая возможность блокирования и в конфигурациях с пассивным анализом трафика. В случае, когда Snort запущен в активном inline-режиме, теперь используется новый препроцессор для нормализации пакетов, позволяя интерпретировать пакеты тем же способом, что и получающий эти пакеты хост; * Задействование модуля DAQ (API для сбора данных, Data Acquisition API), который определяет множество разных методов доступа к получению пакетов, таких как libpcap, netfilterq, IPFW и afpacket. При использовании libpcap теперь требуется как минимум версия 1.0 данной библиотеки. Код DAQ может быть обновлен независимо от Snort, так как теперь является независимым модулем. * Обновлен код инспектирования HTTP-трафика (HTTP Inspect), который теперь может извлекать и использовать IP-адреса из HTTP-заголовков X-Forward-For и True-Client-IP; * Новая опция 'byte_extract' позволяет использовать извлеченные в текущем правиле значения внутри следом идущих опций isdataat и byte_test, byte_jump, а также в содержимом distance/within/depth/offset; * В SMTP-препроцессоре реализована поддержка декодирования больших MIME-вложений, требующим передачи более одного сетевого пакета; * Возможность тестирования правил блокирования пакетов. В режиме Inline Test Mode пакеты не отбрасываются, а только отражаются в логе как подлежащие блокировке; * Новые опции правил для декодирования и инспектирования base64-блоков данных; * Улучшена работа кода по декодированию IPv6-пакетов с целью улучшения определения аномалий; * Добавлен пример создания приложений для обработки данных формате unified2, используемом для компактного хранения логов Snort; * Добавлен новый обработчик шаблонов, поддерживающий задействования аппаратных акселераторов, совместимых с Intel Quick Assist Technology, для ускорения сопоставления масок. Downloads (~5,5 Mb)_http://www.snort.org/downloads/269
* The HTTP Inspect "server_flow_depth" option is now applied once per HTTP session, instead of once per packet. This will improve performance by inspecting fewer packets. * Fixed an issue with the handling of TCP urgent data. * Fixed an issue with using file_data:mime within shared library rules. * Fixed an issue with TCP reassembly of single packets * Fixed an issue with DAQ building when using “–disable-bundled-modules” combined with other enables. Downloads (~5,5 Mb)_http://www.snort.org/downloads/369