Snort

Downloadet af millioner af mennesker over hele verden, og med over en halv million registrerede brugere Snort er en open source og gratis kommandolinjeprogram, der med succes kan bruges til forebyggelse, afsløring og beskyttelse af netværk på ethvert GNU / Linux-operativsystem, der er i stand til pakkelogging og realtids trafikanalyse.

Projektet kan konfigureres i fire tilstande, Sniffer-tilstand, Packet Logger-tilstand, NDS-tilstand (Network Intrusion Detection System) samt Inline-tilstand. Derudover leveres Snort med foruddefinerede regler, som kan downloades fra projektets hjemmeside, oprettet af samfundet eller af Snort-udviklerne.

På trods af at det går fra kommandolinjen, er Snort ikke meget svært at bruge, men der er mange muligheder for dig at lege med. Det kombinerer med succes fordelene ved anomaliebaseret inspektion, signatur og protokol, hvilket gør det til det mest udbredte IPS (Intrusion Prevention System) og IDS (Intrusion Detection System) teknologi.

Understøttede operativsystemer og tilgængelighed

Som den er tilgængelig til download som et universelt kilderarkiv, understøttes Snort officielt under en lang række GNU / Linux-distributioner, men støtter officielt, med binære pakker, Fedora, CentOS, FreeBSD og Microsoft Windows-operativsystemerne. Både 32-bit og 64-bit arkitekturer understøttes på nuværende tidspunkt.

Snort kan nemt installeres på talrige GNU / Linux smag, da den er tilgængelig til download fra standard software repositories af populære Linux kernel-baserede operativsystemer. Gettings startede dokumentation findes på projektets side, der dækker en lang række spørgsmål relateret til hvordan du konfigurerer Snort på Debian, openSUSE, Fedora, CentOS, FreeBSD og NetBSD OSes.

Hvad er nyt i denne udgave:

• Stabilitetsforbedring for Stream6-forprocessor
• Fixerede flere problemer i HttpInspect preprocessor
• Løst et problem med forkert maskering af følsomme data

Hvad er nyt i version 2.9.9.0:

• Stabilitetsforbedring til Stream6-forprocessor
• Fixerede flere problemer i HttpInspect preprocessor
• Løst et problem med forkert maskering af følsomme data

Hvad er nyt i version 2.9.8.3:

• Stabilitetsforbedring til Stream6 preprocessor
• Fixerede flere problemer i HttpInspect preprocessor
• Løst et problem med forkert maskering af følsomme data

Hvad er nyt i version 2.9.8.2:

• Nye tilføjelser:
• Fremtidsstrøm og DNS API udsat for lua detektor.
• Dobbelt VLAN tagging support.
• Forbedringer:
• Funktionsforbedringer til AppID.
• Stabilitetsforbedringer til fil og ftp_telnet preprocessor.
• Fixerede flere problemer med SDF og obfuscation.
• Løst et problem med ukorrekt håndtering af misformet DNS-vært i AppID.
• HTTP PAF accepterer alle tokens mellem metode- og versionsstrengene i en anmodning URI.
• Løst snort build problem med "- disable-perfprofiling & quot; konfigurere indstilling.
• Forbedret mime-parsning ved at tilføje support til at registrere filer efter ukendte overskrifter og ingen overskrifter.
• Fast problem med gzip dekompression. Hvis serverresponsen angiver. Content-Encoding som GZIP, men intet indholdslængdesfelt for HTTP ver 1.0.
• Afslutning af overskrift (EOH) identifikation til HTTP-responsoverskrift, der spænder over flere pakker.
• Forbedret pakke genmontering til HTTP.
• Fast Flash LZMA dekomprimeringsproblem.

Hvad er nyt i version 2.9.8.0:

• Nye tilføjelser:
• SMBv2 / SMBv3 understøtter filinspektion.
• Overstyring af port for metadatatjeneste i IPS-regler.
• AppID Lua detektor præstationsprofilering.
• Perfmon dumps statistikker med faste intervaller fra absolut tid.
• Ny preprocessor alarm (120: 18) til at registrere SSH tunneling over HTTP
• Ny config-option | disable_replace | for at deaktivere erstatningsregelindstillingen.
• Ny strømkonfiguration | log_asymmetric_traffic | at kontrollere logging til syslog.
• Ny shell script i værktøjer til at oprette enkle Lua detektorer til AppID.
• Forbedringer:
• sfip_t refactored til at bruge struct in6_addr for alle ip-adresser.
• Efter afsløring tilbagekaldelse til præprocessorer.
• AppID-understøttelse for flere server / klientdetektorer vurderer på samme flow.
• AppID API for DNS-pakker.
• Hukommelsesoptimeringer i hele.
• Støtte til afsendelse af UDP aktive svar.
• Fix perfmon sporing af beskårne pakker.
• Stabilitetsforbedringer for AppID.
• Stabilitetsforbedringer for Stream6 preprocessor.
• Tilføjet forbedret support for at blokere malware i FTP preprocessor.
• Tilføjet support for at skelne mellem aktive og passive FTP-forbindelser.
• Forbedringer udført i Stream6-forprocessoren for at undgå at have dobbeltpakker i DAQ-forsøgskøen.
• Løst et problem, hvor omdrejningstype forkert viste 'blacklist' i prioriteret felt, selvom 'whitelist'-indstillingen blev konfigureret.
• Tilføjet support til flere forventede sessioner oprettet pr. pakke
• Aktivt svar understøtter nu MPLS

Hvad er nyt i version 2.9.7.5:

• Added forbedret support til Stream preprocessoren til asynkron TCP trafik.
• Aktivt svar angiver ikke længere FIN-flagget på det sidste segment, der blev sendt.

Hvad er nyt i version 2.9.7.3:

• Nye tilføjelser:
• Tilføjet PAF-support til SIP-baseret trafik
• Forbedringer:
• Løst et backtracking-problem, hvor indstillingen 'protected_content'-regel ikke matchede indhold efter en indholdsregel, der ikke matches.
• Løst et problem, hvor snort droppede privilegiumniveauer, før man forsøgte at slette sin PID-fil oprettet under det højere privilegiumniveau
• Forbedret behandling af SSLv3-trafik, IPv6-udvidelser, HTTPS-sessionens genmontering og normalisering
• Præstationsforbedringer til filen preprocessor
• Stabilitetsforbedringer for ftp_telnet preprocessor

Hvad er nyt i version 2.9.7.2:

• src / build.h: opdatering af bygge nummer til 177
• src / preprocessors / Stream6 / snort_stream_tcp.c: Dokumentation: Fast problem, hvor TCP-trim normalisering ville forekomme, når det ikke var nødvendigt.
• src / decode.c, src / encode.c: Tilføjet support til Cisco FabricPath-dekodning / -kodning. Sørg for, at flow_id er kopieret til DAQ_PktHdr_t.
• src / snort.h, src / sfutil / sfrt.c, src / sfutil / sfrt.h src / målbaseret / sftarget_reader.c: Flyttet ntohl-konvertering inde i sfrt-api'en til både IPv4 og IPv6.
• src / target-based / sftarget_protocol_reference.c Søg efter programprotokol id først efter at sessionen er etableret. Tildel programprotokol-id til sessionen, når du bruger værtsattributtabellen.
• src / util.c: Ændringer for at undertrykke konfigurationslogning.
• src / file-process / file_service.c: Tildel filen config til en fil kontekst forud for at kontrollere, om HTTP fortsættelse.

Hvad er nyt i version 2.9.7.0:

• Nye tilføjelser:
• Tilføjede evnen til at angive yderligere tilpassede 'x-forwarder-for' http-feltnavne. Et nyt http-inspektionskonfigurationselement bruges til at angive et sæt feltnavne og deres respektive prioritetsordre.
• Tilføjet cache flow timeout for IP.
• Forbedringer:
• Fast håndtering af ICMPv6-trafik.
• Fast inline stream reassembly under filbehandling.
• Udstedelse af løsladt løbstilstand med Perfmon stats filoverførsel.

Hvad er nyt i version 2.9.6.0:

• Nye tilføjelser Tilføj support til filspecifik behandling inden for DCERPC preprocessor for filer, der overføres over SMB.
• Filfang og lagring - gemmer filer, når de krydser netværket via en ny præprocessor, der understøtter support inden for HTTP, FTP, SMTP, POP, IMAP og SMB. Se README.file og README.file_server (under værktøjer / file_server) for detaljer.
• Tilføj = operatør til byte_test rule option.
• Opdater SMTP for at registrere Cyrus SASL-godkendelsesangreb.
• Tilføj evnen til at fange en enkelt session fra start til slut.
• EXPERIMENTAL: Tilføj support for at udnytte filtypeidentifikation i snortregler. Se README.file_ips for detaljer.
• ForbedringerVil injicer aktive svar, når en TCP-session er etableret.
• Opdater POP- og IMAP-protokollerne for at understøtte enkel PAF til forbedret identifikation og indsamling af filer.
• Opdater SMTP, POP, IMAP for at forbedre inspektionen, når mime grænser opdeles på tværs af pakker.
• Adresseproblem for at adressere slutningen af ​​linjen forkert for Quoted Printable email attachments.
• Håndter ikke SSL-håndtryk i SMTP, når STARTTLS bruges, og foretag kun kontrol af SSL-typen inden for SSL-håndskakningen.
• Opdater følsom dataforprocessor til at håndtere en stateful søgning af mønstre på tværs af flere pakker.
• Adresse et par spørgsmål i Snort manualen og andre READMEs for flowbits og tunneling.
• Gem pakkedata for hurtigere fejlfinding i tilfælde af en SIGABRT eller SIGBUS.
• Fix alignment af sfxhash noden til SPARC platforme.

Hvad er nyt i version 2.9.6.0 RC:

• Vi har forbedret et par meget små ting , men vi leder virkelig efter mere test i motoren og tilbagemeldinger om de muligheder, vi har indbygget i det.

Hvad er nyt i version 2.9.6.0 Beta:

• src / detection-plugins / sp_icmp_code_check.c: Tillad en negativ værdi i ICMP icode xy-rækkefeltet. Dette tillader reglen at inkludere en check for nul
• src / preprocessors / Stream5 / snort_stream5_tcp.c: Deaktiver detektion, når TCP-forbindelsen allerede var lukket.
• src /: dynamiske præprocessorer / ftptelnet / ftpp_si.h, dynamiske præprocessorer / ftptelnet / pp_ftp.c, dynamiske præprocessorer / ftptelnet / snort_ftptelnet.c, fil-proces / file_api.h: Fix FTP-Data filbehandling .
• src / snort_bounds.h: Undgå påstand om kopiering af nulstørrelse hukommelse
• src /: dynamic-plugins / sf_dynamic_plugins.c, detektions-plugins / sp_react.c: Indsæt kun svarside, når session er etableret.
• src / dynamic-preprocessors / smtp / smtp_log.h, src / dynamic-preprocessors / smtp / snort_smtp.c, src / dynamiske præprocessorer / smtp / snort_smtp.h, preproc_rules / preprocessor.rules osv. / gen-msg .map: Tilføj en ny preprocessor-alarm for at registrere Cyrus SASL-godkendelsesangreb.
• src / dynamic-preprocessors / ssh / spp_ssh.c: Set_reassembly til ABSOLUTE kun, hvis trafikken er SSH. Statligt behandle ssh version / ssh nøgleudveksling init / nøgleudveksling og / eller krypterede data i en enkelt samlet pakke. Tak til Florian Westphal for at rapportere dette.
• src / file-process / file_mime_process.c: For IMAP vil MIME og besked være inde i hente krop, som slutter ved ")".
• src /: dynamiske præprocessorer / dns / spp_dns.c, dynamiske præprocessorer / ssh / spp_ssh.c, Skift præprocessor genmontering politik; Ændret SSH præprocessor tilstandsovergang baseret på dir snarere end begge.
• src /: preprocessors / Stream5 / snort_stream5_tcp.c: Ignorér spalten, når du tænder genmontering dynamisk på den første pakke i sessionen.
• src / dynamic-preprocessors / dnp3 / spp_dnp3.c: Løs de ukorrekte mempool-advarsler. Tak til Bram for at rapportere dette
• doc / snort_manual.pdf, doc / snort_manual.tex, configure.in, src / snort.c, src / util.c: Trim frigivet hukommelse før og efter konfiguration genindlæs.

dynamiske præprocessorer / pop / snort_pop.c, dynamiske præprocessorer / smtp / snort_smtp.c, fil-proces / file_mime_process.c, sfutil / sf_email_attach_decode.c: Tillad 7bit dekodning af binære filvedhæftninger.
• src / dynamisk-præprocessorer / sdf /: spp_sdf.c, spp_sdf.h: Undgå delvis regelstregkamp under genindlæsning.
• src / tag.c: Fix grænsecheckfejl, så den globale taggede pakkegrænse ikke tillader et ekstra tag.
fil-proces / file_mime_process.c, fil-proces / file_service.c, dynamisk-præprocessorer / imap / snort_imap.c, preprocessors / imap / spp_imap.c, dynamiske præprocessorer / smtp / snort_smtp.c, dynamiske præprocessorer / pop / snort_pop.c, dynamiske præprocessorer / pop / spp_pop.c: Tilføj simpel PAF-understøttelse til POP og IMAP.
• src /: util.c, util.h, sfutil / sf_ip.c, sfutil / sf_ip.h: Bugs Tilføj sfip_convert_ip_text_to_binary () for at håndhæve platform agnostisk IPv4 syntaks. Sørg for at xatou (), xatol () og xatoup () returnerer værdier inden for det specificerede område
• doc / snort_manual.tex: Opdater dokumentet for at medtage '=' operatørerne til kommandoen byte_test
• src / preprocessors / Stream5 / snort_stream5_tcp.c: Sørg for, at INTERNAL_EVENT_SESSION_ADD-hændelsen kun er i ESTABLISHED-tilstanden.
• src / sfutil / sf_email_attach_decode.c: Kontroller, at QP-kodingsstrengen er gyldig for at undgå at afkode de ender på linjen forkert.
• src / dynamic-preprocessors / ftptelnet / snort_ftptelnet.c: Tweak config output for at svare til config input. Tak til Reinoud Koornstra for forslaget.
• src / preprocessors / Stream5 /: snort_stream5_icmp.c, snort_stream5_ip.c, snort_stream5_tcp.c, snort_stream5_udp.c: dynamiske præprocessorer / pop / snort_pop.c, dynamiske præprocessorer / smtp / snort_smtp.c, dynamiske præprocessorer / ssl / spp_ssl.c, encode.c, dynamiske præprocessorer / dcerpc2 / dce2_cl.c, dynamiske præprocessorer / dcerpc2 / dce2_session.h, dynamiske præprocessorer / dcerpc2 / snort_dce2.c, dynamiske præprocessorer / dns / spp_dns.c, dynamiske præprocessorer / imap / snort_imap.c: præprocessorer / spp_rpc_decode.c, preprocessorer / spp_stream5.c, preprocessorer / stream_api.h, preprocessors / stream_expect.c: Håndter ud af ordre SSL-håndtryk i SMTP. Tak til Bram for at rapportere dette.
• src / preprocessors / perf-base.c: Opdater overskriften, der er udskrevet oven på den nuværende fil.
• src / preprocessors / perf-base.c: Skift navn på stat fra blokerede pakker til Block verdicts.
• src / preprocessors / Stream5 / snort_stream5_session.c: Timeout en session, når session timeout når i stedet for at vente på session nominel timeout.
• configure.in, src / plugbase.c, src / rule_option_types.h, src / snort.c, src / detektering-plugins / Makefile.am, src / detection-plugins /: sp_file_type.c, sp_file_type.h, src / detektion-plugins / detection_options.c, src / dynamic-preprocessors / Makefile.am, src / fil-proces / Makefile.am, src / fil-proces / file_api.h, src / file-process / file_service.c, src / fil-proces / fil_service_config.c, src / fil-proces / fil_service_config.h, src / fil-proces / libs / Makefile.am, src / fil-proces / libs / file_config.c, src / file-process / libs / file_config.h, src / fil-proces / libs / file_lib.c, src / fil-proces / libs / file_lib.h, src / preprocessors / spp_stream5.c, værktøjer / Makefile.am, doc /: README.file , README.file_ips, Makefile.am: Fil inspektion søgeord til IPS regler.
• src / dynamic-preprocessors / sdf /: sdf_pattern_match.c, sdf_pattern_match.h, spp_sdf.c, spp_sdf.h: Tilføj statisk mønstermatch af sdf-mønstre på tværs af pakker.
• mkinstalldirs, doc / snort_manual.tex, src / detect.c, src / detection_util.h, src / fpdetect.c, src / parser.c, src / tag.c, src / tag.h, src / target -baserede / sf_attribute_table.y, værktøjer / u2spewfoo / u2spewfoo.c: Støtte single session capture via tag rule option. Log alle pakker på samme sted som den originale advarsel. Aktivér tagging på passregler.
dynamiske præprocessorer / pop / snort_pop.c, dynamiske præprocessorer / pop / snort_pop.h, dynamiske preprocessorer / imap / snort_imap.c, dynamiske præprocessorer / imap / snort_imap.h, dynamiske præprocessorer / pop / snort_pop.c / smtp / snort_smtp.c, dynamiske præprocessorer / smtp / snort_smtp.h, fil-proces / file_api.h, fil-proces / file_mime_process.c, præprocessorer / str_search.c, preprocessorer / str_search.h, sfutil / bnfa_search.c: Tilføj statlig mime grænse søgning, når opdelt mellem pakker.
• src / preprocessors / HttpInspect / client / hi_client.c: Skift uri-søgningen for at starte fra metoden end i stedet for starten af ​​nyttelast.
<>configure.in, doc / README.file, doc / snort_manual.pdf, src / parser.c, src / preprocids.h, src / snort.c, src / util.c, src / detection-plugins / .cvsignore, src /dynamic-examples/Makefile.am, src / dynamic-plugins / sf_engine / .cvsignore, src / dynamiske præprocessorer / Makefile.am, src / dynamiske præprocessorer / fil / Makefile.am, src / dynamic-preprocessors / file / file_agent.c, src / dynamic-preprocessors / file / file_agent.h, src / dynamic-preprocessors / file / file_event_log.c, src / dynamiske præprocessorer / fil / file_event_log.h, src / dynamic-preprocessors / file / file_inspect_config. c, src / dynamic-preprocessors / file / file_inspect_config.h, src / dynamic-preprocessors / file / file_sha.c, src / dynamiske præprocessorer / fil / file_sha.h, src / dynamic-preprocessors / file / sf_file.dsp, src / dynamic-preprocessors / fil / spp_file.c, src / dynamic-preprocessors / fil / spp_file.h, src / dynamic-preprocessors / sf_dynamic_initialize / sf_dynamic_initialize.dsp, src / fil-proces / Makefile.am, src / file- proces / cirkulær_buffer.c, src / fil-proces / cirkulær_buffer.h, src / fil -process / file_api.h, src / fil-proces / file_capture.c, src / fil-proces / file_capture.h, src / fil-proces / file_mempool.c, src / fil-proces / file_mempool.h, src / file -proces / file_resume_block.c, src / fil-proces / file_service.c, src / file-process / file_service.h, src / fil-proces / fil_service_config.c, src / fil-proces / fil_service_config.h, src / fil-proces / fil_stats.c, src / fil-proces / file_stats.h, src / file-process / libs / file_config.c, src / fil-proces / libs / file_config.h, src / fil-proces / libs / file_identifier.c, src / fil-proces / libs / file_identifier.h, src / file-process / libs / file_lib. c, src / fil-proces / libs / file_lib.h, src / fil-proces / libs / file_sha256.h, værktøjer / Makefile.am, værktøjer / file_server / Makefile.am, værktøjer / file_server / README.file_server, værktøjer / file_server / file_server.c: Tilføj filfangningsfunktion og introducer fil inspect preprocessor
• src / preprocessors / Stream5 / snort_stream5_tcp.c: Parse fejl, hvis der mangler retningsangivelser. Tak til Bram Fabeg for rapporten.
• src / ipv6_port.h: Fjern dublet makro til GET_ORIG_IPH_PROTO.
• doc /: README.decode, README.gre, README.mpls, snort_manual.pdf, snort_manual.tex: Opdater manual og andre dokumenter relateret til tunneling. Tak til Jason Poley for at bemærke det.
• src / parser.c: Spring ikke så tydeligt over dobbelt service-metadata.
• src /: log.c, mempool.c, parser.c, snort.c, util.c, detektions-plugins / sp_ip_tos_check.c, detektions-plugins / sp_pattern_match.c, detektions-plugins / sp_replace.c, detektions-plugins / sp_session.c, detektions-plugins / sp_tcp_win_check.c, dynamiske præprocessorer / dns / spp_dns.c, dynamiske præprocessorer / ftptelnet / pp_ftp.c, dynamiske præprocessorer / ftptelnet / snort_ftptelnet.c, dynamiske præprocessorer / sdf / sdf_pattern_match.c, output-plugins / spo_log_ascii.c, output-plugins / spo_log_tcpdump.c, præprocessorer / HttpInspect / utils / hi_paf.c, preprocessorer / Stream5 / snort_stream5_tcp.c: Udskift forældede bzero- og indeksopkald. Credits til Bill Parker
• src / dynamic-preprocessors /: smtp / snort_smtp.c, ssl / spp_ssl.c, libs / ssl.c, libs / ssl.h: Kontroller kun for SSL-typen, når SSL-håndtrykket ikke er færdigt. Undersøg ikke for typen i SSL-data. Tak til Bram Fabeg for at rapportere dette.
• src / preprocessorer /: HttpInspect / server / hi_server.c, HttpInspect / server / hi_server_norm.c, Stream5 / snort_stream5_tcp.c: Kontrollér kun charset-bom en gang pr. Indsæt kun charset en gang pr charset =
• src / profiler.c: Løs problemet ved læsning af pcaps fra kommandolinjen og brug af flere politikker og --pcap-reset.
• src / detektions-plugins / detection_options.c: Tæl ikke RTN perf-tid i OTN-perfektid. Credits til Reinoud for at rapportere dette.
• doc / README.flowbits: Fix typografi i flowbits isnotset eksempler
• src / snort.c, src / snort.h, src / util.c, snort.8, doc / snort_manual.pdf, doc / snort_manual.tex: Tilføj en kommandolinjebryder --no-interface-pidfile til fnys.
• src / preprocessors /: spp_stream5.c, Stream5 / stream5_common.h: Opdateret Streams exitstatistik for at bruge 'filtreret' i stedet for tabt.
• src /: detection_util.h, dynamisk-præprocessorer / sip / spp_sip.c: Indstil ikke sip / http buffere til null
• src / dynamic-plugins / sf_engine / sf_snort_plugin_api.c: Ret mismatch, hvis den ønskede http buffer ikke blev indstillet
• src / snort.c: Bugs Fixed: Capture pakkedata til sigabrt og sigbus
<>doc / README.dcerpc2, doc / snort_manual.pdf, doc / snort_manual.tex, etc / gen-msg.map, preproc_rules / preprocessor.rules, src / active.c, src / active.h, src / encode.c, src / encode.h, src / generators.h, src / dynamiske plugins / sf_dynamic_plugins.c, src / dynamiske plugins / sf_dynamic_preprocessor.h, src / dynamiske præprocessorer / dcerpc2 / dce2_co.c, src / dynamiske præprocessorer / dcerpc2 / dce2_config.c, src / dynamisk-præprocessorer / dcerpc2 / dce2_config.h, src / dynamiske præprocessorer / dcerpc2 / dce2_event.c, src / dynamiske præprocessorer / dcerpc2 / dce2_event.h, src / dynamiske præprocessorer / dcerpc2 / dce2_memory.c, src / dynamic-preprocessors / dcerpc2 / dce2_memory.h, src / dynamic-preprocessors / dcerpc2 / dce2_smb.c, src / dynamiske præprocessorer / dcerpc2 / dce2_smb.h, src / dynamiske præprocessorer / dcerpc2 / dce2_stats. h, src / dynamiske præprocessorer / dcerpc2 / snort_dce2.c, src / dynamiske præprocessorer / dcerpc2 / snort_dce2.h, src / dynamiske præprocessorer / dcerpc2 / spp_dce2.c, src / dynamiske præprocessorer / dcerpc2 / spp_dce2.h, src / dynamic-preprocessors / dcerpc2 / includes / smb.h, src / dyn amic-preprocessors / ftptelnet / snort_ftptelnet.c, src / dynamiske præprocessorer / imap / snort_imap.c, src / dynamiske præprocessorer / pop / snort_pop.c, src / dynamiske præprocessorer / smtp / snort_smtp.c, src / file- proces / file_api.h, src / file-process / file_mime_process.c, src / fil-proces / file_service.

c, src / fil-proces / libs / fil_identifier.c, src / fil-proces / libs / fil_identifier.h, src / fil-proces / libs / file_lib.c, src / file-process / libs / file_lib .h, src / preprocessors / snort_httpinspect.c, src / preprocessors / Stream5 / snort_stream5_tcp.c: Tilføj SMB-filsupport

Hvad er nyt i version 2.9.5.6:

• src/preprocessors/Stream5/snort_stream5_tcp.c: Tilføj NULL-tjek for præprocessorer, der kontrollerer PAF, før de tjekker for en eventuel tcp-session
• src / detektering-plugins /: sp_byte_check.c, sp_byte_jump.c, sp_isdataat.c, sp_pattern_match.c: Test, om den byteekstraherede afstand og / eller forskydning er inden for grænserne for søgebufferen. Tak til Nathan Fowler for at bemærke problemet.
• src / præprocessorer / HttpInspect / client / hi_client.c: Clear cookie normaliseringsbuffer for at undgå utilsigtet nullreference i pipelined anmodning. Tak til Michael Galapchuk for at rapportere problemet.

Hvad er nyt i version 2.9.5.5:

• Forbedringer:
• Adresseproblem med SMTP-præprocessor og ignore_tls_data-konfigurationen for at stoppe inspektionen korrekt efter en SMTP-session er krypteret.
• Deaktiver al regelevaluering (i modsætning til blot regler med hurtige mønstre) for pakker i en tidligere blokeret session.
• Korrigeret, når perfmon preprocessor skriver statistikker, der skal forekomme, så snart både tid og pakketællingskriterier er opfyldt.
• Gennemfør samme begrænsninger for relative PCRE for HTTP-buffere fra delte biblioteksbestemmelser, som allerede eksisterede med tekstregler.

Hvad er nyt i version 2.9.5.3:

• Forbedringer:
• Resultatforbedringer for at eliminere noget unødvendigt arbejde, reduktion af størrelser af datastrukturer og oprydning af behandling til HTTP-normaliserede buffere.
• Hæk antallet af forventede forbindelser (fx FTP-datakanal) for at forhindre hukommelsesvækst
• Adresseproblem med genindlæsning af omdømmeoversigtstabeller, når flere adresser tilføjes.
• Adresseproblem med potentiel hængning under afbrydelse af kontrolforbindelse konfigureringsbehandlingstråd.

Hvad er nyt i version 2.9.4.6:

• Forbedret understøttelse af DAQ-verdier i hvidlisten og sortlisten til 6in4 og 4in6 indkapslet trafik (svarende til Teredo & GTP). Se Snort manualen for konfiguration detaljer.
• Undgå at ændre længden af ​​IP-muligheder i frag3, når du modtager dobbelt 0-offset-fragmenter med IP-indstillinger.

Hvad er nyt i version 2.9.4.5:

• Fjernede proxyoplysninger fra normaliseret HTTP Uri for at aktivere korrekt matching af mønstre.
• Opdater for at logge pakker til unified2 på tværs af alle advarsler om stream reassembled pakker.