전세계 수백만 명의 사용자가 다운로드하고 50 만 명이 넘는 등록 사용자가있는 Snort는 모든 GNU / Linux 운영 체제에서 네트워크 침입 방지, 탐지 및 보호에 성공적으로 사용할 수있는 오픈 소스 및 무료 명령 줄 응용 프로그램입니다. 패킷 로깅 및 실시간 트래픽 분석이 가능합니다.
4 가지 모드와 규칙이 있습니다.
프로젝트는 Sniffer 모드, Packet Logger 모드, NIDS (Network Intrusion Detection System) 모드 및 인라인 모드의 네 가지 모드로 구성 할 수 있습니다. 또한 Snort는 커뮤니티 또는 Snort 개발자가 만든 프로젝트 웹 사이트에서 다운로드 할 수있는 미리 정의 된 규칙을 제공합니다.
가장 널리 배포 된 IPS / IDS 기술
명령 행에서 실행된다는 사실에도 불구하고 Snort는 사용하기가 그리 어렵지는 않지만 놀 수있는 옵션이 많이 있습니다. 이 솔루션은 비정상 기반 검사, 서명 및 프로토콜의 이점을 성공적으로 결합하여 가장 널리 배포 된 IPS (Intrusion Prevention System) 및 IDS (Intrusion Detection System) 기술입니다.
지원되는 운영 체제 및 가용성
유니버설 소스 아카이브로 다운로드 할 수 있기 때문에, Snort는 공식적으로 수많은 GNU / Linux 배포판에서 지원되지만 공식적으로 Fedora, CentOS, FreeBSD 및 Microsoft Windows 운영 체제를 바이너리 패키지로 지원합니다. 현재 32 비트 및 64 비트 아키텍처가 모두 지원됩니다.
Snort 시작하기
널리 사용되는 Linux 커널 기반 운영 체제의 기본 소프트웨어 저장소에서 다운로드 할 수 있으므로 Snort는 수많은 GNU / Linux 버전에 쉽게 설치할 수 있습니다. Debian, openSUSE, Fedora, CentOS, FreeBSD 및 NetBSD OS에서 Snort를 설치하는 방법과 관련된 방대한 양의 질문을 다루는 시작 설명서는 프로젝트 페이지에서 찾을 수 있습니다.
이 릴리스의 새로운 내용 :
Stream6 전 처리기의 안정성 향상
HttpInspect 전 처리기의 여러 문제 수정
민감한 데이터의 잘못된 마스킹 문제가 수정되었습니다.
2.9.9.0 버전의 새로운 기능 :
Stream6 전 처리기의 안정성 개선
HttpInspect 전 처리기의 여러 문제 수정
민감한 데이터의 잘못된 마스킹 문제가 수정되었습니다.
버전 2.9.8.3의 새로운 기능 :
Stream6 전 처리기의 안정성 향상
HttpInspect 전 처리기의 여러 문제 수정
민감한 데이터의 잘못된 마스킹 문제가 수정되었습니다.
버전 2.9.8.2의 새로운 기능 :
새로운 추가 사항 :
미래 흐름 및 DNS API는 lua 탐지기에 노출됩니다.
이중 VLAN 태깅 지원.
개량:
AppID의 성능이 향상되었습니다.
file 및 ftp_telnet 전처리 기의 안정성이 향상되었습니다.
SDF 및 난독 화와 관련된 몇 가지 문제가 수정되었습니다.
AppID에서 잘못된 DNS 호스트의 부적절한 처리 문제를 해결했습니다.
HTTP PAF는 요청 URI에서 메서드와 버전 문자열 사이의 모든 토큰을 허용합니다.
& quot; disable-perfprofiling & quot;으로 snort 빌드 문제가 해결되었습니다. 옵션을 구성하십시오.
알 수없는 헤더와 헤더가없는 파일 검색 기능을 추가하여 향상된 MIME 파싱 기능을 제공합니다.
gzip 압축 해제 문제가 해결되었습니다. 서버 응답이 지정하는 경우. Content-Encoding은 GZIP이지만 HTTP 버전 1.0에는 Content-Length 필드가 없습니다.
여러 패킷에 걸쳐있는 HTTP 응답 헤더의 EOH (End of Header) ID입니다.
향상된 HTTP 용 패킷 재구성
고정 플래시 LZMA 압축 해제 문제.
버전 2.9.8.0의 새로운 기능 :
새로운 추가 사항 :
파일 검사를위한 SMBv2 / SMBv3 지원.
IPS 규칙의 메타 데이터 서비스에 대한 포트 대체.
AppID 루아 검출기 성능 프로파일 링.
성능 모니터는 절대 시간에서 고정 간격으로 통계를 덤프합니다.
HTTP를 통한 SSH 터널링을 감지하는 새로운 전 처리기 경고 (120 : 18)
새 구성 옵션 | disable_replace | 규칙 바꾸기 옵션을 사용 중지합니다.
새 스트림 구성 | log_asymmetric_traffic | syslog에 대한 로깅을 제어합니다.
AppID에 대한 간단한 Lua 탐지기를 만드는 툴의 새로운 쉘 스크립트.
개량:
sfip_t는 모든 ip 주소에 대해 struct in6_addr을 사용하도록 리팩토링했습니다.
전 처리기에 대한 사후 탐지 콜백.
동일한 흐름에서 평가되는 여러 서버 / 클라이언트 탐지기에 대한 AppID 지원
DNS 패킷 용 AppID API
메모리 최적화.
UDP 활성 응답 전송 지원.
정리 된 패킷의 perfmon 추적을 수정합니다.
AppID의 안정성 향상.
Stream6 전 처리기의 안정성 향상.
FTP 전 처리기의 멀웨어 차단 기능이 개선되었습니다.
활성 및 수동 FTP 연결을 구분할 수있는 지원이 추가되었습니다.
Stream6 전 처리기에서 개선 된 기능으로 DAQ 재시도 대기열에 패킷이 중복되는 것을 방지합니다.
'화이트리스트'옵션이 구성되어 있어도 명성 설정에서 우선 순위 필드에 '블랙리스트'가 잘못 표시되는 문제가 해결되었습니다.
패킷 당 여러 세션 생성 지원 추가
능동적 인 응답으로 MPLS가 지원됩니다.
버전 2.9.7.5의 새로운 기능은 무엇입니까?
비동기 TCP 트래픽을위한 스트림 전 처리기에 대한 향상된 지원을 추가했습니다.
능동 응답은 더 이상 전송 된 마지막 세그먼트의 FIN 플래그를 설정하지 않습니다.
2.9.7.3 버전의 새로운 기능 :
새로운 추가 사항 :
SIP 기반 트래픽에 대한 PAF 지원 추가
개량:
일치하지 않는 콘텐츠 규칙 옵션을 따르는 콘텐츠에서 'protected_content'규칙 옵션이 일치하지 않는 후행 추적 문제가 해결되었습니다.
snort가 상위 권한 수준에서 생성 된 PID 파일을 삭제하기 전에 권한 수준을 삭제 한 문제를 해결했습니다.
SSLv3 트래픽 처리, IPv6 확장, HTTPS 세션 재구성 및 정규화
파일 전 처리기의 성능 향상
ftp_telnet 전 처리기의 안정성 향상
2.9.7.2 버전의 새로운 기능 :
src / build.h : 빌드 번호를 177로 업데이트
src / preprocessors / Stream6 / snort_stream_tcp.c : 문서화 : 필요하지 않을 때 TCP 트림 정규화가 발생하는 문제가 수정되었습니다.
src / decode.c, src / encode.c : Cisco FabricPath 디코딩 / 인코딩 지원이 추가되었습니다. flow_id가 DAQ_PktHdr_t에 복사되었는지 확인하십시오.
src / snort.h, src / sfutt / sfrt.c, src / sfutil / sfrt.h src / target-based / sftarget_reader.c : IPv4 및 IPv6 용 sfrt API 내에서 ntohl 변환을 이동했습니다.
src / target-based / sftarget_protocol_reference.c 세션이 설정된 후에 만 응용 프로그램 프로토콜 ID를 찾습니다. 호스트 속성 테이블을 사용할 때 응용 프로그램 프로토콜 ID를 세션에 지정하십시오.
src / util.c : 설정 로깅을 억제하기위한 변경 사항.
src / file-process / file_service.c : HTTP 계속 여부를 확인하기 전에 파일 컨텍스트에 파일 구성을 지정하십시오.
2.9.7.0 버전의 새로운 기능 :
새로운 추가 사항 :
추가 사용자 지정 'x-forwarder-for'http 필드 이름을 지정할 수있는 기능이 추가되었습니다. 새로운 http 검사 구성 요소는 일련의 필드 이름과 각각의 우선 순위를 지정하는 데 사용됩니다.
IP에 대한 캐시 흐름 시간 초과를 추가했습니다.
개량:
ICMPv6 트래픽 처리가 수정되었습니다.
파일 처리 중 인라인 스트림 재조정을 수정했습니다.
성능 모니터 스탯 파일 롤오버와 함께 해결 된 경쟁 조건 문제.
2.9.6.0 버전의 새로운 기능 :
새로운 추가 기능 SMB를 통해 전송되는 파일에 대해 DCERPC 전처리 프로그램 내에서 파일 특정 처리를 수행하도록 지원합니다.
파일 캡처 및 저장 - HTTP, FTP, SMTP, POP, IMAP 및 SMB 내에서 지원되는 새로운 선행 프로세서를 통해 네트워크를 통과하는 파일을 저장합니다. 자세한 내용은 README.file 및 README.file_server (tools / file_server 아래)를 참조하십시오.
byte_test 규칙 옵션에 = 연산자를 추가하십시오.
Cyrus SASL 인증 공격을 탐지하도록 SMTP를 업데이트하십시오.
처음부터 끝까지 단일 세션을 캡처하는 기능을 추가하십시오.
실험 : snort 규칙에서 파일 유형 식별을 활용할 수 있도록 지원을 추가합니다. 자세한 내용은 README.file_ips를 참조하십시오.
TCP 세션이 설정되면 활성 응답 만 주입합니다.
향상된 식별 및 파일 캡처를 위해 간단한 PAF를 지원하도록 POP 및 IMAP 프로토콜을 업데이트하십시오.
마임 경계가 패킷을 통해 분할 될 때 검사를 개선하려면 SMTP, POP, IMAP을 업데이트하십시오.
Quoted Printable 전자 메일 첨부 파일의 줄 바꿈 문제를 해결하기위한 주소 문제.
STARTTLS가 사용될 때 SMTP에서 순서가 잘못된 SSL 핸드 쉐이크를 처리하고 SSL 손떨림 내에서만 SSL 유형을 확인합니다.
민감한 데이터 전 처리기를 업데이트하여 여러 패킷에 대한 패턴의 상태 저장 검색을 처리합니다.
Snort 매뉴얼과 흐름 비트와 터널링에 대한 다른 README에서 몇 가지 문제를 해결하십시오.
SIGABRT 또는 SIGBUS의 경우 더 빠른 디버깅을 위해 패킷 데이터를 저장하십시오.
SPARC 플랫폼 용 sfxhash 노드의 정렬을 수정했습니다.
버전 2.9.6.0 RC의 새로운 기능 :
우리는 몇 가지 사소한 것들을 개선했지만 엔진에 대한 더 많은 테스트와 우리가 구축 한 기능.
2.9.6.0 버전의 새로운 기능 :
src / detection-plugins / sp_icmp_code_check.c : ICMP icode xy 범위 검사에서 음수 값을 허용합니다. 이렇게하면 규칙에 0에 대한 검사가 포함될 수 있습니다.
src / preprocessors / Stream5 / snort_stream5_tcp.c : TCP 연결이 이미 닫힌 경우 검색을 사용하지 않습니다.
src / : dynamic-preprocessors / ftptelnet / ftpp_si.h, 동적 사전 처리기 / ftptelnet / pp_ftp.c, 동적 사전 처리기 / ftptelnet / snort_ftptelnet.c, file-process / file_api.h : FTP 데이터 파일 처리 수정.
src / snort_bounds.h : 크기가 0 인 메모리 복사본에 대한 어설 션을 피하십시오.
src / : dynamic-plugins / sf_dynamic_plugins.c, detection-plugins / sp_react.c : 세션이 설정된 경우에만 응답 페이지를 주입합니다.
src / dynamic-preprocessors / smtp / snort_smtp.h, preproc_rules / preprocessor.rules, etc / gen-msg.map : 새로운 전 처리기 경고를 추가하여 Cyrus SASL 인증 공격을 탐지합니다.
src / dynamic-preprocessors / ssh / spp_ssh.c : 트래픽이 SSH 인 경우에만 _reassembly를 ABSOLUTE로 설정하십시오. ssh 버전 / ssh 키 교환 초기화 / 키 교환 및 / 또는 암호화 된 데이터를 하나의 재구성 된 패킷 내에서 상태 처리합니다. 이를보고 해 주신 Florian Westphal에게 감사드립니다.
src / : dynamic-preprocessors / dns / spp_dns.c, 동적 사전 처리기 / ssh / spp_ssh.c, 사전 처리기 재 조립 정책 변경; SSH 전 처리기 상태 전이를 둘 다 사용하지 않고 dir을 기반으로 변경했습니다.
src / : preprocessors / Stream5 / snort_stream5_tcp.c : 세션의 첫 번째 패킷에서 리 어셈블리를 동적으로 켤 때 갭을 무시하십시오.
src / dynamic-preprocessors / dnp3 / spp_dnp3.c : 잘못된 mempool 경고를 수정합니다. 이 문제를보고 해 주신 Bram에게 감사드립니다.
doc / snort_manual.pdf, doc / snort_manual.tex, configure.in, src / snort.c, src / util.c : 구성을 다시로드하기 전후에 해제 된 메모리를 정리하십시오.
src / : dynamic-preprocessors / imap / snort_imap.c, 동적 사전 처리기 / pop / snort_pop.c, 동적 사전 처리기 / smtp / snort_smtp.c, 파일 프로세스 / file_mime_process.c, sfutil / sf_email_attach_decode.c : 7 비트 디코딩 허용 바이너리 첨부 파일들.
src / dynamic-preprocessors / sdf / : spp_sdf.c, spp_sdf.h : 다시로드하는 동안 부분 규칙 트리가 일치하지 않도록하십시오.
src / tag.c : 전역 태그 패킷 제한이 추가 태그를 허용하지 않도록 경계 검사 오류를 수정했습니다.src / : 파일 프로세스 / file_mime_process.h, 파일 프로세스 / file_api.h, 파일 프로세스 / file_mime_process.c, 파일 프로세스 / file_service.c, 동적 사전 처리기 / imap / snort_imap.c, 동적 사전 처리기 / imap /spp_imap.c, dynamic-preprocessors / smtp / snort_smtp.c, dynamic-preprocessors / pop / snort_pop.c, dynamic-preprocessors / pop / spp_pop.c : POP 및 IMAP에 대한 간단한 PAF 지원을 추가합니다.
src / : util.c, util.h, sfutil / sf_ip.c, sfutil / sf_ip.h : 버그 sfip_convert_ip_text_to_binary ()를 추가하여 플랫폼에 상관없는 IPv4 구문을 적용합니다. xatou (), xatol () 및 xatoup ()가 지정된 범위 내의 값을 반환하는지 확인합니다.
doc / snort_manual.tex : 문서를 업데이트하여 '='연산자를 byte_test 명령에 포함시킵니다.
src / preprocessors / Stream5 / snort_stream5_tcp.c : INTERNAL_EVENT_SESSION_ADD 이벤트가 ESTABLISHED 상태 여야합니다.
src / sfutil / sf_email_attach_decode.c : QP 인코딩 문자열이 라인 끝 부분을 잘못 디코딩하지 않도록하려면 유효한지 확인하십시오.
src / dynamic-preprocessors / ftptelnet / snort_ftptelnet.c : config 출력을 설정 입력에 맞게 조정합니다. 제안에 대한 Reinoud Koornstra에게 감사드립니다.src / preprocessors / Stream5 / : snort_stream5_ip.c, snort_stream5_ip.c, snort_stream5_tcp.c, snort_stream5_udp.c : 동적 사전 처리기 / pop / snort_pop.c, 동적 사전 처리기 / smtp / snort_smtp.c, 동적 사전 처리기 / ssl / spp_ssl .c, encode.c, 동적 사전 처리기 / dcerpc2 / dce2_cl.c, 동적 사전 처리기 / dcerpc2 / dce2_session.h, 동적 사전 처리기 / dcerpc2 / snort_dce2.c, 동적 사전 처리기 / dns / spp_dns.c, 동적 사전 처리기 /imap/snort_imap.c : 선처리 프로세서 / spp_rpc_decode.c, 선처리 프로세서 / spp_stream5.c, 선처리 프로세서 / stream_api.h, 선처리 프로세서 / stream_expect.c : SMTP에서 순서가 잘못된 SSL 핸드 셰이크를 처리합니다. Bram에게보고 해 주셔서 감사합니다.
src / preprocessors / perf-base.c : 파일 상단에 인쇄 된 헤더를 업데이트합니다.
src / preprocessors / perf-base.c : stat의 이름을 Blocked Packets에서 Block Verdicts로 변경합니다.
src / preprocessors / Stream5 / snort_stream5_session.c : 세션 타임 아웃을 기다리는 대신 세션 타임 아웃에 도달 할 때 세션의 타임 아웃.src / detection_plugins / : sp_file_type.c, sp_file_type.h, src / detection. src / file-process / file_api.h, src / file-process / file_service.c, src / file src / file-process / file_service_config.h, src / file-process / libs / Makefile.am, src / file-process / libs / file_config.c, src / file-process / libs / file_config .h, src / file-process / libs / file_lib.c, src / file-process / libs / file_lib.h, src / preprocessors / spp_stream5.c, tools / Makefile.am, doc / : README.file, README. file_ips, Makefile.am : IPS 규칙의 파일 검사 키워드입니다.
src / dynamic-preprocessors / sdf / : sdf_pattern_match.c, sdf_pattern_match.h, spp_sdf.c, spp_sdf.h : 패킷을 통해 sdf 패턴의 상태 기반 패턴 일치를 추가합니다.
doc / snort_manual.tex, src / detect.c, src / detect_util.h, src / fpdetect.c, src / parser.c, src / tag.c, src / tag.h, src / target-based / sf_attribute_table.y, tools / u2spewfoo / u2spewfoo.c : 태그 규칙 옵션을 통해 단일 세션 캡처를 지원합니다. 모든 패킷을 원래 알림과 동일한 위치에 기록하십시오. 통과 규칙에 태그를 달 수 있습니다.src / : dynamic-preprocessors / imap / snort_imap.c, 동적 사전 처리기 / imap / snort_imap.h, 동적 사전 처리기 / pop / snort_pop.c, 동적 사전 처리기 / pop / snort_pop.h, 동적 사전 처리기 / smtp / snort_smtp .c, 동적 전처리 기 / smtp / snort_smtp.h, 파일 프로세스 / file_api.h, 파일 프로세스 / file_mime_process.c, 전 처리기 / str_search.c, 전 처리기 / str_search.h, sfutil / bnfa_search.c : 상태 저장 MIME 추가 경계 검색 패킷 사이의 분할.
src / preprocessors / HttpInspect / client / hi_client.c : uri 검색을 페이로드 시작 대신 메소드 끝에서 시작하도록 변경하십시오.doc / snort_manual.pdf, src / parser.c, src / preprocids.h, src / snort.c, src / util.c, src / detection-plugins / .cvsignore, src /dynamic-examples/Makefile.am, src / dynamic-plugins / sf_engine / .cvsignore, src / dynamic-preprocessors / Makefile.am, src / dynamic-preprocessors / file / Makefile.am, src / dynamic-preprocessors / file / src / dynamic-preprocessors / file / file_agent.h, src / dynamic-preprocessors / file / file_event_log.c, src / dynamic-preprocessors / file / file_event_log.h, src / dynamic-preprocessors / file / file_inspect_config에 있습니다. c / src / dynamic-preprocessors / file / file_inspect_config.h, src / dynamic-preprocessors / file / file_sha.c, src / dynamic-preprocessors / file / file_sha.h, src / dynamic-preprocessors / file / sf_file.dsp, src / dynamic-preprocessors / file / spp_file.c, src / dynamic-preprocessors / file / spp_file.h, src / dynamic-preprocessors / sf_dynamic_initialize / sf_dynamic_initialize.dsp, src / 파일 프로세스 / Makefile.am, src / process / circular_buffer.c, src / file-process / circular_buffer.h, src / file src / file-process / file_capture.h, src / file-process / file_mempool.c, src / file-process / file_mempool.h, src / file -process / file_resume_block.c, src / file-process / file_service.c, src / file-process / file_service.src / file-process / file_services_config.h, src / file-process / file_stats.c, src / file-process / file_stats.h, src / file-process / libs / file_config.c, src / file-process / libs / file_config.h, src / file-process / libs / file_identifier.c, src / file-process / libs / file_identifier.h, src / 파일 프로세스 / libs / file_lib. src / file-process / libs / file_sha256.h, tools / Makefile.am, tools / file_server / Makefile.am, tools / file_server / README.file_server, tools / file_server / file_server.c : 파일 캡처 기능을 추가하고 파일 검사 전 처리기를 소개합니다.
src / preprocessors / Stream5 / snort_stream5_tcp.c : 방향 지정자가 누락되어 있으면 구문 분석 오류가 발생합니다. 보고서 Bram Fabeg에게 감사드립니다.
src / ipv6_port.h : GET_ORIG_IPH_PROTO에 대한 중복 매크로를 제거하십시오.
doc / : README.decode, README.gre, README.mpls, snort_manual.pdf, snort_manual.tex : 터널링 관련 수동 및 기타 문서를 업데이트합니다. Jason Poley에게 감사의 말을 전합니다.
src / parser.c : 중복 서비스 메타 데이터를 자동으로 건너 뜁니다.src / : log.c, mempool.c, parser.c, snort.c, util.c, 탐지 플러그인 / sp_ip_tos_check.c, 탐지 플러그인 / sp_pattern_match.c, 탐지 플러그인 / sp_replace.c, 탐지 플러그인 / sp_session.c, detect-plugins / sp_tcp_win_check.c, 동적 사전 처리기 / dns / spp_dns.c, 동적 사전 처리기 / ftptelnet / pp_ftp.c, 동적 사전 처리기 / ftptelnet / snort_ftptelnet.c, 동적 사전 처리기 / sdf / sdf_pattern_match .c, output-plugins / spo_log_ascii.c, 출력 플러그인 / spo_log_tcpdump.c, 전 처리기 / HttpInspect / utils / hi_paf.c, 전처리 기 / Stream5 / snort_stream5_tcp.c : 오래된 bzero 및 index 호출을 대체합니다. Bill Parker의 크레딧
src / dynamic-preprocessors / : smtp / snort_smtp.c, ssl / spp_ssl.c, libs / ssl.c, libs / ssl.h : SSL 핸드 셰이크가 완료되지 않은 경우에만 SSL 유형을 확인하십시오. SSL 데이터에서 유형을 확인하지 마십시오. 이것을보고 해 주신 Bram Fabeg에게 감사드립니다.
src / preprocessors / : HttpInspect / server / hi_server.c, HttpInspect / server / hi_server_norm.c, Stream5 / snort_stream5_tcp.c : 응답 본문에 한 번만 charset bom을 확인하십시오. charset 당 한 번만 charset 설정 =
src / profiler.c : 명령 줄에서 pcaps를 읽고 여러 정책과 --pcap-reset을 사용할 때 문제가 수정되었습니다.src / detection-plugins / detection_options.c : OTN perf 시간에 RTN perf 시간을 계산하지 마십시오. 이것을보고 한 Reinoud에 대한 크레딧.
doc / README.flowbits : 플로 비트의 오타 수정 예제가 없습니다.
src / snort.c, src / snort.h, src / util.c, snort.8, doc / snort_manual.pdf, doc / snort_manual.tex : snort에 명령 행 스위치 --no-interface-pidfile을 추가하십시오.
src / preprocessors / : spp_stream5.c, Stream5 / stream5_common.h : 삭제 된 스트림 대신 'filtered'를 사용하도록 스트림의 종료 통계를 업데이트했습니다.
src / : detect_util.h, dynamic-preprocessors / sip / spp_sip.c : sip / http 버퍼를 null로 설정하지 마십시오.
src / dynamic-plugins / sf_engine / sf_snort_plugin_api.c : 요청 된 http 버퍼가 설정되지 않은 경우 반환 불일치
src / snort.c : 수정 된 버그 : sigabrt 및 sigbus 패킷 데이터 캡처doc / snort_manual.pdf, doc / snort_manual.tex, etc / gen-msg.map, preproc_rules / preprocessor.rules, src / active.c, src / active.h, src / encode.c, src / dynamic-preprocessors / dcerpc2 / dce2_co.c, src / dynamic-preprocessors / sf_dynamic_preprocessor.h, src / dcerpc2 / dce2_config.c, src / dynamic-preprocessors / dcerpc2 / dce2_config.h, src / dynamic-preprocessors / dcerpc2 / dce2_event.c, src / dynamic-preprocessors / dcerpc2 / dce2_event.h, src / dce2_memory.c, src / dynamic-preprocessors / dcerpc2 / dce2_memory.h, src / dynamic-preprocessors / dcerpc2 / dce2_smb.c, src / dynamic-preprocessors / dcerpc2 / dce2_smb.h, src / dynamic-preprocessors / dcerpc2 / dce2_stats에 있습니다. src / dynamic-preprocessors / dcerpc2 / snort_dce2.h, src / dynamic-preprocessors / dcerpc2 / spp_dce2.c, src / dynamic-preprocessors / dcerpc2 / spp_dce2.h, src / dynamic-preprocessors / dcerpc2 / includes / smb.h, src / dyn src / dynamic-preprocessors / smtp / snort_smtp.c, src / dynamic-preprocessors / ftp / process / file_api.h, src / file-process / file_mime_process.c, src / file-process / file_service.src / file-process / libs / file_identifier.c, src / file-process / libs / file_identifier.h, src / file-process / libs / file_lib.c, src / file-process / libs / file_lib .h, src / preprocessors / snort_httpinspect.c, src / preprocessors / Stream5 / snort_stream5_tcp.c : SMB 파일 지원 추가
버전 2.9.5.6의 새로운 기능은 다음과 같습니다.
src /preprocessors/Stream5/snort_stream5_tcp.c : 실제 TCP 세션을 확인하기 전에 PAF를 검사하는 선처리 프로세서에 대해 NULL 검사를 추가합니다
src / detection-plugins / : sp_byte_check.c, sp_byte_jump.c, sp_isdataat.c, sp_pattern_match.c : 바이트 추출 된 거리 및 / 또는 오프셋이 검색 버퍼의 범위 내에 있는지 테스트합니다. 문제를 지적한 Nathan Fowler에게 감사드립니다.
src / preprocessors / HttpInspect / client / hi_client.c : 파이프 라인 요청에서 우발적 인 null 역 참조를 방지하기 위해 쿠키 정상화 버퍼를 지 웁니다. 이 문제를보고 해 주신 Michael Galapchuk에게 감사드립니다.
2.9.5.5 버전의 새로운 기능 :
개선 사항 :
SMTP 세션이 암호화 된 후 검사를 올바르게 중지하기 위해 SMTP 전처리 기와 ignore_tls_data 구성 문제를 해결합니다.
이전에 차단 된 세션의 패킷에 대한 모든 규칙 평가를 비활성화합니다 (빠른 패턴이있는 규칙 만 사용하지 않음).
perfmon 전 처리기가 시간 및 패킷 수 기준이 모두 충족되는 즉시 통계를 작성하면 수정됩니다.
텍스트 규칙으로 이미 존재하는 공유 라이브러리 규칙에서 HTTP 버퍼에 대한 상대 PCRE에 동일한 제한 사항을 적용합니다.
버전 2.9.5.3의 새로운 기능 :
개선 사항 :
불필요한 작업을 줄이고 데이터 구조의 크기를 줄이며 HTTP 정규화 된 버퍼를 처리하는 성능을 향상시킵니다.
메모리 증가를 막기 위해 예상되는 연결 수를 제한하십시오 (예 : FTP 데이터 채널).
더 많은 주소가 추가되면 평판 조회 테이블을 다시로드하여 문제를 해결하십시오.
제어 소켓 구성 재로드 처리 스레드의 종료 중 잠재적 중단으로 인한 주소 문제.
버전 2.9.4.6의 새로운 기능 :
6in4 및 4in6 캡슐화 트래픽 (Teredo 및 GTP와 유사)에 대한 화이트리스트 및 블랙리스트의 DAQ 평가 지원이 향상되었습니다. 구성에 대한 자세한 내용은 Snort 설명서를 참조하십시오.
IP 옵션이있는 중복 된 0 오프셋 조각을 수신 할 때 frag3의 IP 옵션 길이를 변경하지 마십시오.
버전 2.9.4.5의 새로운 기능 :
올바른 패턴 일치를 위해 정규화 된 HTTP URI의 삭제 된 프록시 정보.
스트림 재구성 된 패킷의 모든 경고에 대해 unified2에 패킷을 기록하도록 업데이트합니다.
댓글을 찾을 수 없습니다