Snort

Descarregado por milhões de pessoas em todo o mundo e com mais de meio milhão de usuários registrados, Snort é uma aplicação de código aberto e de linha de comando gratuita que pode ser usada com sucesso para prevenção, detecção e proteção de intrusão de rede em qualquer sistema operacional GNU / Linux, capaz de registrar pacotes e análise de tráfego em tempo real.

O projeto pode ser configurado em quatro modos, Modo Sniffer, modo Logger Packet, modo Network Intrusion Detection System (NIDS), bem como o modo Inline. Além disso, o Snort vem com regras predefinidas que podem ser baixadas do site do projeto, criado pela comunidade ou pelos desenvolvedores Snort.

Apesar do fato de que ele é executado a partir da linha de comando, Snort não é muito difícil de usar, mas há muitas opções para você jogar. Ele combina com sucesso os benefícios da inspeção, assinatura e protocolo baseados em anomalias, tornando-se a tecnologia IPS (Intrusion Prevention System) e IDS (Intrusion Detection System) mais amplamente implantada.

Sistemas operacionais suportados e disponibilidade

Como está disponível para download como arquivo de fontes universais, o Snort é oficialmente suportado em várias distribuições GNU / Linux, mas suporta oficialmente, com pacotes binários, os sistemas operacionais Fedora, CentOS, FreeBSD e Microsoft Windows. Ambas as arquiteturas de 32 bits e 64 bits são suportadas neste momento.

O Snort pode ser facilmente instalado em vários sabores GNU / Linux, pois está disponível para download a partir dos repositórios de software padrão dos sistemas operacionais populares baseados no kernel Linux. A documentação começou a ser encontrada na página do projeto, cobrindo uma grande quantidade de perguntas relacionadas sobre como configurar o Snort nos sistemas operacionais Debian, OpenSUSE, Fedora, CentOS, FreeBSD e NetBSD.

O que é novo nesta versão:

• Melhoria de estabilidade para o préprocessador Stream6
• Corrigido vários problemas no pré-processador HttpInspect
• Corrigido um problema de máscara incorreta de dados sensíveis

O que é novo na versão 2.9.9.0:

• Melhoria da estabilidade para o préprocessador Stream6
• Corrigido vários problemas no pré-processador HttpInspect
• Corrigido um problema de máscara incorreta de dados sensíveis

O que há de novo na versão 2.9.8.3 .

• Melhoria da versão para o préprocessador Stream6
• Corrigido vários problemas no pré-processador HttpInspect
• Corrigido um problema de máscara incorreta de dados sensíveis

O que é novo na versão 2.9.8.2:

• Novas adições:
• API de fluxo futuro e DNS exposta ao detector lua.
• Suporte de marcação de VLAN duplo.
• Melhorias:
• Melhorias de desempenho para o AppID.
• Melhorias de estabilidade para o arquivo e o préprocessador ftp_telnet.
• Corrigido vários problemas com SDF e ofuscação.
• Resolveu um problema de manipulação incorreta de host DNS malformado no AppID.
• HTTP PAF aceita todos os tokens entre o método e as cadeias de versão em um URI de solicitação.
• Resolvido problema de compilação snort com & quot; - disable-perfprofiling & quot; opção de configuração.
• Análise mime aprimorada, adicionando suporte para detectar arquivos após cabeçalhos desconhecidos e sem cabeçalhos.
• Problema corrigido com descompressão gzip. Se a resposta do servidor especifica. Codificação de conteúdo como GZIP, mas nenhum campo Content-Length para HTTP ver 1.0.
• identificação do fim do cabeçalho (EOH) para o cabeçalho da resposta HTTP que abrange vários pacotes.
• Melhorar a remontamento de pacotes para HTTP.
• Problema de descompressão Flash LZMA corrigido.

O que é novo na versão 2.9.8.0:

• Novas adições:
• Suporte SMBv2 / SMBv3 para inspeção de arquivos.
• Substituição de porta para o serviço de metadados nas regras IPS.
• Perfil de desempenho do detector AppID Lua.
• Perfmon dumps stats em intervalos fixos a partir do tempo absoluto.
• Novo alerta de pré-processador (120: 18) para detectar tunelamento SSH em HTTP
• Nova opção de configuração | disable_replace | para desativar a opção de regra de substituição.
• Configuração New Stream | log_asymmetric_traffic | para controlar o log para o syslog.
• Novo script de shell em ferramentas para criar detectores Lua simples para o AppID.
• Melhorias:
• sfip_t refatorado para usar struct in6_addr para todos os endereços ip.
• Retorno de pós-detecção para pré-processadores.

suporte
• AppID para vários detectores de servidor / cliente avaliando no mesmo fluxo.
• AppID API para pacotes DNS.
• Otimizações de memória em todo.
• Suporte enviando respostas ativas UDP.
• Corrigir o rastreamento perfom dos pacotes podados.
• Melhorias de estabilidade para o AppID.
• Melhorias de estabilidade para o pré-processador Stream6.
• Adicionado suporte aprimorado para bloquear o malware no préprocessador de FTP.
• Adicionado suporte para diferenciar conexões FTP ativas e passivas.
• Melhorias feitas no pré-processador do Stream6 para evitar o envio de pacotes duplicados na fila de repetição do DAQ.
• Resolveu um problema em que a configuração de reputação incorretamente exibia 'lista negra' no campo de prioridade, embora a opção 'lista branca' estava configurada.
• Adicionado suporte para várias sessões esperadas criadas por pacote
• A resposta ativa agora suporta MPLS

O que é novo na versão 2.9.7.5:

• Adicionado suporte aprimorado ao pré-processador de fluxo para TCP assíncrono tráfego.
• A resposta ativa não define mais o sinalizador FIN no último segmento enviado.

O que há de novo na versão 2.9.7.3:

• Novas adições:
• Adicionado suporte PAF para tráfego baseado em SIP
• Melhorias:
• Resolveu um problema de backtracking onde a opção de regra 'protected_content' não estava em correspondência no conteúdo seguindo uma opção de regra de conteúdo que não era compatível.
• Resolveu um problema em que o snort deixou os níveis de privilégio antes de tentar eliminar o seu arquivo PID criado durante o nível de privilégio superior
• Processamento aprimorado do tráfego SSLv3, extensões IPv6, remontagem de sessão HTTPS e normalização
• Melhorias de desempenho para o préprocessador de arquivos
• Melhorias de estabilidade para o préprocessador ftp_telnet

O que é novo na versão 2.9.7.2:

• src / build.h: atualizando o número de compilação para 177
• src / preprocessors / Stream6 / snort_stream_tcp.c: Documentação: Problema corrigido em que a normalização de compensação TCP ocorreria quando não fosse necessária.
• src / decode.c, src / encode.c: Adicionado suporte para decodificação / codificação Cisco FabricPath. Garantir que o flow_id seja copiado para o DAQ_PktHdr_t.
• src / snort.h, src / sfutil / sfrt.c, src / sfutil / sfrt.h src / target-based / sftarget_reader.c: Mudou a conversão ntohl dentro do svt api para IPv4 e IPv6.
• src / target-based / sftarget_protocol_reference.c Identificação de protocolo de aplicação de pesquisa somente após a sessão estar estabelecida. Atribua o id do protocolo do aplicativo à sessão ao usar a tabela de atributo do host.
• src / util.c: Alterações para a supressão do log de configuração.
• src / file-process / file_service.c: atribua a configuração do arquivo a um contexto de arquivo antes de verificar se a continuação HTTP.

O que é novo na versão 2.9.7.0:

• Novas adições:
• Adicionou a capacidade de especificar nomes de campo HTTP personalizados adicionais adicionais para "forwarder-for". Um novo elemento de configuração de inspeção HTTP é usado para especificar um conjunto de nomes de campos e sua respectiva ordem de precedência.
• Tempo limite de fluxo de cache adicionado para IP.
• Melhorias:
• Manipulação fixa do tráfego ICMPv6.
• Corrigida a reassembly do fluxo interno durante o processamento do arquivo.
• Problema de condição de corrida endereçada com rollover de arquivo de estatísticas Perfmon.

O que há de novo na versão 2.9.6.0:

• Novas adiçõesAdicionar suporte para processar o arquivo específico no pré-processador DCERPC para os arquivos que estão sendo transferidos por SMB.
• Captura e armazenamento de arquivos - salva os arquivos à medida que atravessam a rede através de um novo pré-processador que se liga em HTTP, FTP, SMTP, POP, IMAP e SMB. Veja README.file e README.file_server (em tools / file_server) para obter detalhes.
• Adicionar = operadores à opção de regra byte_test.
• Atualize o SMTP para detectar o ataque de autenticação Cyrus SASL.
• Adicionar capacidade para capturar uma única sessão do início ao fim.
• EXPERIMENTAL: adicione suporte para alavancar a identificação do tipo de arquivo nas regras snort. Consulte README.file_ips para obter detalhes.
• ImprovementsOnly injetar respostas ativas quando uma sessão TCP é estabelecida.
• Atualize os protocolos POP e IMAP para suportar PAF simples para melhorar a identificação e captura de arquivos.
• Atualize SMTP, POP, IMAP para melhorar a inspeção quando os limites do mime são divididos em pacotes.
• Problema de endereço para endereçar o final da linha incorretamente para anexos de e-mail imprimidos citados.
• Manuseie o handshake SSL SSL no SMTP quando o STARTTLS é usado e corrija as verificações para o tipo SSL somente dentro do toque manual SSL.
• Atualize o préprocessador de dados sensíveis para lidar com uma busca detalhada de padrões em vários pacotes.
• Dirija alguns problemas no manual Snort e outros READMEs para flowbits e tunelamento.
• Salvar dados do pacote para uma depuração mais rápida no caso de um SIGABRT ou SIGBUS.
• Corrige o alinhamento do nó sfxhash para as plataformas SPARC.

O que há de novo na versão 2.9.6.0 RC:

• Melhoramos algumas coisas muito pequenas , mas estamos realmente procurando mais testes no motor e comentários sobre os recursos que adquirimos.

O que é novo na versão 2.9.6.0 Beta:

• src / detection-plugins / sp_icmp_code_check.c: Permitir um valor negativo na verificação ICOP icode xy range. Isso permite que a regra inclua uma verificação de zero
• src / preprocessors / Stream5 / snort_stream5_tcp.c: Desabilita a detecção quando a conexão TCP já estava fechada.
• src /: dynamic-preprocessors / ftptelnet / ftpp_si.h, dinâmico-préprocessadores / ftptelnet / pp_ftp.c, dinâmico-préprocessadores / ftptelnet / snort_ftptelnet.c, file-process / file_api.h: Corrigir o processamento de arquivos FTP-Data .
• src / snort_bounds.h: Evite asserção para cópia de memória de tamanho zero
• src /: dynamic-plugins / sf_dynamic_plugins.c, detection-plugins / sp_react.c: injete somente a página de resposta quando a sessão for estabelecida.
• src / dynamic-preprocessors / smtp / smtp_log.h, src / dynamic-preprocessors / smtp / snort_smtp.c, src / dynamic-preprocessors / smtp / snort_smtp.h, preproc_rules / preprocessor.rules, etc / gen-msg .map: adicione um novo alerta do préprocessador para detectar o ataque de autenticação Cyrus SASL.
• src / dynamic-preprocessors / ssh / spp_ssh.c: Set_reassembly to ABSOLUTE somente se o tráfego for SSH. Processar de forma especial a versão ssh / troca de chaves ssh / troca de chaves e / ou dados criptografados em um único pacote reassembled. Obrigado a Florian Westphal por ter relatado isso.
• src / file-process / file_mime_process.c: Para IMAP, o MIME e a mensagem estarão dentro do corpo de busca, que será o fim em & quot;) & quot;.
• src /: dinâmico-préprocessadores / dns / spp_dns.c, pré-processadores dinâmicos / ssh / spp_ssh.c, Alterar a política de remontagem do pré-processador; Alterou a transição de estado do préprocessador SSH com base no diretório em vez de ambos.
• src /: preprocessors / Stream5 / snort_stream5_tcp.c: ignore a lacuna ao ativar a reconfiguração dinamicamente no primeiro pacote da sessão.
• src / dynamic-preprocessors / dnp3 / spp_dnp3.c: corrija os avisos de mempool incorretos. Graças a Bram por ter relatado isso
• doc / snort_manual.pdf, doc / snort_manual.tex, configure.in, src / snort.c, src / util.c: Ajuste a memória liberada antes e depois do recarregamento da configuração.
• src /: preprocessadores dinâmicos / imap / snort_imap.c, préprocessadores dinâmicos / pop / snort_pop.c, preprocessadores dinâmicos / smtp / snort_smtp.c, arquivo-processo / arquivo_mime_processo.c, sfutil / sf_email_attach_decode.c: Permita a decodificação de 7 bits de anexos de arquivos binários.
• src / dynamic-preprocessors / sdf /: spp_sdf.c, spp_sdf.h: Evite a regra parcial da árvore de regras durante o recarregamento.
• src / tag.c: corrija o erro de verificação de limites para que o limite de pacote marcado global não permita uma tag extra.
• src /: file-process / file_mime_process.h, file-process / file_api.h, file-process / file_mime_process.c, file-process / file_service.c, dinâmico-préprocessadores / imap / snort_imap.c, dynamic- préprocessadores / imap / spp_imap.c, preprocessadores dinâmicos / smtp / snort_smtp.c, préprocessadores dinâmicos / pop / snort_pop.c, préprocessadores dinâmicos / pop / spp_pop.c: adicione suporte PAF simples para POP e IMAP.
• src /: util.c, util.h, sfutil / sf_ip.c, sfutil / sf_ip.h: Bugs Adicionar sfip_convert_ip_text_to_binary () para impor a sintaxe IPv4 agnóstica da plataforma. Certifique-se de que os valores de retorno xatou (), xatol () e xatoup () no intervalo especificado
• doc / snort_manual.tex: atualize o documento para incluir os operadores '=' no comando byte_test
• src / preprocessors / Stream5 / snort_stream5_tcp.c: Certifique-se do evento INTERNAL_EVENT_SESSION_ADD somente no estado ESTABELECIDO.
• src / sfutil / sf_email_attach_decode.c: Verifique se a cadeia de codificação QP é válida para evitar a descodificação final da linha incorretamente.
• src / dynamic-preprocessors / ftptelnet / snort_ftptelnet.c: Tweak config output para corresponder à entrada de configuração. Obrigado a Reinoud Koornstra pela sugestão.
• src / preprocessors / Stream5 /: snort_stream5_icmp.c, snort_stream5_ip.c, snort_stream5_tcp.c, snort_stream5_udp.c: preprocessadores dinâmicos / pop / snort_pop.c, preprocessadores dinâmicos / smtp / snort_smtp.c, preprocessadores dinâmicos / ssl / spp_ssl.c, encode.c, dinâmico-préprocessadores / dcerpc2 / dce2_cl.c, dinâmico-préprocessadores / dcerpc2 / dce2_session.h, dinâmico-préprocessadores / dcerpc2 / snort_dce2.c, dinâmico-préprocessadores / dns / spp_dns.c, préprocessadores dinâmicos / imap / snort_imap.c: préprocessadores / spp_rpc_decode.c, préprocessadores / spp_stream5.c, préprocessadores / stream_api.h, préprocessadores / stream_expect.c: Manipular a ordem do handshake SSL no SMTP. Obrigado a Bram pelo relatório deste.
• src / preprocessors / perf-base.c: atualize o cabeçalho impresso no topo do arquivo agora.
• src / preprocessors / perf-base.c: mude o nome da estatística de pacotes bloqueados para Veredictos de bloco.
• src / preprocessors / Stream5 / snort_stream5_session.c: Timeout uma sessão quando o tempo limite da sessão atinge em vez de aguardar o tempo limite nominal da sessão.
• configure.in, src / plugbase.c, src / rule_option_types.h, src / snort.c, src / detection-plugins / Makefile.am, src / detection-plugins /: sp_file_type.c, sp_file_type.h, src / detection-plugins / detection_options.c, src / dynamic-preprocessors / Makefile.am, src / file-process / Makefile.am, src / file-process / file_api.h, src / file-process / file_service.c, src / file-process / file_service_config.c, src / file-process / file_service_config.h, src / file-process / libs / Makefile.am, src / file-process / libs / file_config.c, src / file-process / libs / file_config.h, src / file-process / libs / file_lib.c, src / file-process / libs / file_lib.h, src / preprocessors / spp_stream5.c, tools / Makefile.am, doc /: README.file , README.file_ips, Makefile.am: palavras-chave de inspeção de arquivos para regras IPS.
• src / dynamic-preprocessors / sdf /: sdf_pattern_match.c, sdf_pattern_match.h, spp_sdf.c, spp_sdf.h: adicione uma combinação padronizada de padrões de sdf em pacotes.
• mkinstalldirs, doc / snort_manual.tex, src / detect.c, src / detection_util.h, src / fpdetect.c, src / parser.c, src / tag.c, src / tag.h, src / target -based / sf_attribute_table.y, tools / u2spewfoo / u2spewfoo.c: suporte a uma única sessão de captura via opção de regra de tag. Registre todos os pacotes no mesmo local que o alerta original. Ative a marcação nas regras de aprovação.
• src /: preprocessadores dinâmicos / imap / snort_imap.c, préprocessadores dinâmicos / imap / snort_imap.h, préprocessadores dinâmicos / pop / snort_pop.c, preprocessadores dinâmicos / pop / snort_pop.h, préprocessadores dinâmicos / smtp / snort_smtp.c, dinâmico-préprocessadores / smtp / snort_smtp.h, file-process / file_api.h, file-process / file_mime_process.c, preprocessors / str_search.c, preprocessors / str_search.h, sfutil / bnfa_search.c: Adicione a pesquisa de limite mime estadual quando dividido entre pacotes.
• src / preprocessors / HttpInspect / client / hi_client.c: altere a pesquisa uri para começar do fim do método em vez do início da carga útil.
• configure.in, doc / README.file, doc / snort_manual.pdf, src / parser.c, src / preprocids.h, src / snort.c, src / util.c, src / detection-plugins / .cvsignore, src /dynamic-examples/Makefile.am, src / dynamic-plugins / sf_engine / .cvsignore, src / dynamic-preprocessors / Makefile.am, src / dynamic-preprocessors / file / Makefile.am, src / dynamic-preprocessors / file / file_agent.c, src / dynamic-preprocessors / file / file_agent.h, src / dynamic-preprocessors / file / file_event_log.c, src / dynamic-preprocessors / file / file_event_log.h, src / dynamic-preprocessors / file / file_inspect_config. c, src / dynamic-preprocessors / file / file_inspect_config.h, src / dynamic-preprocessors / file / file_sha.c, src / dynamic-preprocessors / file / file_sha.h, src / dynamic-preprocessors / file / sf_file.dsp, src / dynamic-preprocessors / file / spp_file.c, src / dynamic-preprocessors / file / spp_file.h, src / dynamic-preprocessors / sf_dynamic_initialize / sf_dynamic_initialize.dsp, src / file-process / Makefile.am, src / file- processo / circular_buffer.c, src / arquivo-processo / circular_buffer.h, src / arquivo -processo / file_api.h, src / file-process / file_capture.c, src / file-process / file_capture.h, src / file-process / file_mempool.c, src / file-process / file_mempool.h, src / file -processo / file_resume_block.c, src / file-process / file_service.c, src / file-process / file_service.h src / file-process / file_service_config.c, src / file-process / file_service_config.h, src / file-process / file_stats.c, src / file-process / file_stats.h, src / file-process / libs / file_config.c, src / file-process / libs / file_config.h, src / file-process / libs / file_identifier.c, src / file-process / libs / file_identifier.h, src / file-process / libs / file_lib. c, src / file-process / libs / file_lib.h, src / file-process / libs / file_sha256.h, tools / Makefile.am, tools / file_server / Makefile.am, tools / file_server / README.file_server, tools / file_server / file_server.c: Adicionar recurso de captura de arquivos e introduzir o arquivo de pré-processador de inspeção
• src / preprocessors / Stream5 / snort_stream5_tcp.c: analise o erro se houver especificadores de direção ausentes. Obrigado a Bram Fabeg pelo relatório.
• src / ipv6_port.h: remova a macro duplicada para GET_ORIG_IPH_PROTO.
• doc /: README.decode, README.gre, README.mpls, snort_manual.pdf, snort_manual.tex: Atualize o manual e outros documentos relacionados ao tunelamento. Obrigado a Jason Poley por ter observado.
• src / parser.c: Não salte silenciosamente os metadados do serviço duplicados.
• src /: log.c, mempool.c, parser.c, snort.c, util.c, detecção-plugins / sp_ip_tos_check.c, detecção-plugins / sp_pattern_match.c, detecção-plugins / sp_replace.c, detecção-plugins / sp_session.c, detecção-plugins / sp_tcp_win_check.c, dinâmico-préprocessadores / dns / spp_dns.c, dinâmico-préprocessadores / ftptelnet / pp_ftp.c, dinâmico-préprocessadores / ftptelnet / snort_ftptelnet.c, dinâmico-préprocessadores / sdf / sdf_pattern_match.c, output-plugins / spo_log_ascii.c, output-plugins / spo_log_tcpdump.c, préprocessadores / HttpInspect / utils / hi_paf.c, préprocessadores / Stream5 / snort_stream5_tcp.c: substitua as chamadas bzero e indexadas obsoletas. Créditos para Bill Parker
• src / dynamic-preprocessors /: smtp / snort_smtp.c, ssl / spp_ssl.c, libs / ssl.c, libs / ssl.h: Verifique o tipo de SSL somente quando o handshake SSL não estiver completo. Não verifique se há dados SSL. Obrigado a Bram Fabeg por ter relatado isso.
• src / preprocessors /: HttpInspect / server / hi_server.c, HttpInspect / server / hi_server_norm.c, Stream5 / snort_stream5_tcp.c: Verifique apenas charset bom uma vez por corpo de resposta; Apenas configure o charset uma vez por charset =
• src / profiler.c: corrija o problema ao ler os pcaps da linha de comando e usando várias políticas e --pcap-reset.
• src / detection-plugins / detection_options.c: Não conte o tempo RTN perf no tempo de tração OTN. Créditos para Reinoud por reportar isso.
• doc / README.flowbits: corrigir erro de digitação em fluxos isnotset examples
• src / snort.c, src / snort.h, src / util.c, snort.8, doc / snort_manual.pdf, doc / snort_manual.tex: adicione uma opção de linha de comando --no-interface-pidfile para snort.
• src / preprocessors /: spp_stream5.c, Stream5 / stream5_common.h: atualiza as estatísticas de saída do Stream para usar 'filter' em vez de caiu.
• src /: detection_util.h, dinâmico-préprocessadores / sip / spp_sip.c: Não defina buffers / sip / buffers para null
• src / dynamic-plugins / sf_engine / sf_snort_plugin_api.c: retorna incompatibilidade se solicitado o buffer HTTP não foi definido
• src / snort.c: Bugs corrigidos: dados de pacotes de captura para sigabrt e sigbus
• doc / README.dcerpc2, doc / snort_manual.pdf, doc / snort_manual.tex, etc / gen-msg.map, preproc_rules / preprocessor.rules, src / active.c, src / active.h, src / encode.c, src / encode.h, src / generators.h, src / dynamic-plugins / sf_dynamic_plugins.c, src / dynamic-plugins / sf_dynamic_preprocessor.h, src / dynamic-preprocessors / dcerpc2 / dce2_co.c, src / dynamic-preprocessors / dcerpc2 / dce2_config.c, src / dynamic-preprocessors / dcerpc2 / dce2_config.h, src / dynamic-preprocessors / dcerpc2 / dce2_event.c, src / dynamic-preprocessors / dcerpc2 / dce2_event.h, src / dynamic-preprocessors / dcerpc2 / dce2_memory.c, src / dynamic-preprocessors / dcerpc2 / dce2_memory.h, src / dynamic-preprocessors / dcerpc2 / dce2_smb.c, src / dynamic-preprocessors / dcerpc2 / dce2_smb.h, src / dynamic-preprocessors / dcerpc2 / dce2_stats. h, src / dynamic-preprocessors / dcerpc2 / snort_dce2.c, src / dynamic-preprocessors / dcerpc2 / snort_dce2.h, src / dynamic-preprocessors / dcerpc2 / spp_dce2.c, src / dynamic-preprocessors / dcerpc2 / spp_dce2.h, src / dynamic-preprocessors / dcerpc2 / includes / smb.h, src / dyn amic-preprocessors / ftptelnet / snort_ftptelnet.c, src / dynamic-preprocessors / imap / snort_imap.c, src / dynamic-preprocessors / pop / snort_pop.c, src / dynamic-preprocessors / smtp / snort_smtp.c, src / file- process / file_api.h, src / file-process / file_mime_process.c, src / file-process / file_service.

  c, src / arquivo-processo / libs / file_identifier.c, src / file-process / libs / file_identifier.h, src / file-process / libs / file_lib.c, src / file-process / libs / file_lib .h, src / preprocessors / snort_httpinspect.c, src / preprocessors / Stream5 / snort_stream5_tcp.c: Adicionar suporte ao arquivo SMB

O que é novo na versão 2.9.5.6:

• src/preprocessors/Stream5/snort_stream5_tcp.c: adicione verificação NULL para pré-processadores que verificam o PAF antes de verificar qualquer sessão tcp real
• src / detection-plugins /: sp_byte_check.c, sp_byte_jump.c, sp_isdataat.c, sp_pattern_match.c: teste se a distância extraída byte e / ou o deslocamento estiver dentro dos limites do buffer de pesquisa. Obrigado a Nathan Fowler por ter observado o problema.
• src / preprocessors / HttpInspect / client / hi_client.c: limpe o buffer de normalização de cookies para evitar a desreferência nula acidental no pedido pipelined. Graças a Michael Galapchuk por ter relatado o problema.

O que é novo na versão 2.9.5.5:

• Melhorias:
• Problema de endereço com o préprocessador SMTP e a configuração ignore_tls_data para parar corretamente a inspeção após uma sessão SMTP estar criptografada.
• Desative toda a avaliação de regras (em oposição a apenas regras com padrões rápidos) para pacotes em uma sessão anteriormente bloqueada.
• Corrigido quando o pré-processador Perfmon escreve as estatísticas para ocorrer logo que o tempo e os critérios de contagem de pacotes sejam atendidos.
• Aplicar as mesmas restrições no PCRE relativo para buffers HTTP das regras da biblioteca compartilhada, como já existia com as regras de texto.

O que é novo na versão 2.9.5.3:

• Melhorias:
• Melhorias de desempenho para eliminar algum trabalho desnecessário, redução de tamanhos de estruturas de dados e limpeza de processamento para buffers normalizados HTTP.
• Cap o número de conexões esperadas (por exemplo, canal de dados FTP) para evitar o crescimento da memória
• Problema de endereço com o recarregamento de tabelas de pesquisa de reputação quando mais endereços são adicionados.
• Problema de endereço com potencial pendente durante o desligamento do processo de configuração do socket de controle do processo.

O que é novo na versão 2.9.4.6:

• Melhor suporte para veredictos DAQ da lista branca e lista negra para o tráfego encapsulado 6in4 e 4in6 (semelhante ao Teredo & GTP). Consulte o manual do Snort para detalhes da configuração.
• Evite alterar o comprimento das opções de IP em frag3 ao receber fragmentos de 0-offset duplicados que tenham opções de IP.

O que é novo na versão 2.9.4.5:

• Informações de proxy remanescentes do HTTP Uri normalizado para habilitar o correto correspondência de padrões.
• Atualize para registrar pacotes para unified2 em todos os alertas em pacotes reassembled de fluxo.