Выход Snort, популярной свободной системы обнаружения атак (IDS), версии 2.4.5 завершает развитие ветки 2.4.x. И одновременно с ней выпущена первая версия новой ветки проекта — Snort 2.6.0.
В Snort 2.6 проведена работа по увеличению производительности, появилась реализация системы динамических правил и динамических предпроцессоров.
В обеих версиях усовершенствована обработка RPC-вызовов, улучшена работа систем определения факта сканирования портов и контроля HTTP-соединений.

---

Home_http://www.snort.org/
Downloads (~3,17 Mb)_http://www.snort.org/...t-2.6.0.tar.gz
2.4.5 (~2,69 Mb)_http://www.snort.org/...t-2.4.5.tar.gz

Наиболее важные улучшения:

* Режим предотвращения атак (IPS) включает расширение возможностей подсистемы Stream (обработчик/сборщик TCP-потоков для контроля за отдельными сессиями) для работы в активном inline-режиме (snort выступает в роли шлюза и позволяет принимать решения о дальнейшем прохождении пакетов в момент их получения, а не на основе пассивного анализа трафика). Реакция для всех пакетов теперь задается через единый API, поддерживающий модули Stream, Respond и React. Добавлен новый модуль реакции - respond3, поддерживающий синтаксис как модуля resp, так и resp2, включая возможность блокирования и в конфигурациях с пассивным анализом трафика. В случае, когда Snort запущен в активном inline-режиме, теперь используется новый препроцессор для нормализации пакетов, позволяя интерпретировать пакеты тем же способом, что и получающий эти пакеты хост;
* Задействование модуля DAQ (API для сбора данных, Data Acquisition API), который определяет множество разных методов доступа к получению пакетов, таких как libpcap, netfilterq, IPFW и afpacket. При использовании libpcap теперь требуется как минимум версия 1.0 данной библиотеки. Код DAQ может быть обновлен независимо от Snort, так как теперь является независимым модулем.
* Обновлен код инспектирования HTTP-трафика (HTTP Inspect), который теперь может извлекать и использовать IP-адреса из HTTP-заголовков X-Forward-For и True-Client-IP;
* Новая опция 'byte_extract' позволяет использовать извлеченные в текущем правиле значения внутри следом идущих опций isdataat и byte_test, byte_jump, а также в содержимом distance/within/depth/offset;
* В SMTP-препроцессоре реализована поддержка декодирования больших MIME-вложений, требующим передачи более одного сетевого пакета;
* Возможность тестирования правил блокирования пакетов. В режиме Inline Test Mode пакеты не отбрасываются, а только отражаются в логе как подлежащие блокировке;
* Новые опции правил для декодирования и инспектирования base64-блоков данных;
* Улучшена работа кода по декодированию IPv6-пакетов с целью улучшения определения аномалий;
* Добавлен пример создания приложений для обработки данных формате unified2, используемом для компактного хранения логов Snort;
* Добавлен новый обработчик шаблонов, поддерживающий задействования аппаратных акселераторов, совместимых с Intel Quick Assist Technology, для ускорения сопоставления масок.

---

Downloads (~5,5 Mb)_http://www.snort.org/downloads/269

---

Downloads (~5,5 Mb)_http://www.snort.org/downloads/269

* The HTTP Inspect "server_flow_depth" option is now applied once per HTTP session, instead of once per packet. This will improve performance by inspecting fewer packets.
* Fixed an issue with the handling of TCP urgent data.
* Fixed an issue with using file_data:mime within shared library rules.
* Fixed an issue with TCP reassembly of single packets
* Fixed an issue with DAQ building when using “–disable-bundled-modules” combined with other enables.

---

Downloads (~5,5 Mb)_http://www.snort.org/downloads/369