入侵检测系统,Snort 2.9.8.0 发布

jopen 9年前

Snort是美国Sourcefire公司开发的发布在GPL v2下的IDS(Intrusion Detection System)软件

Snort有 三种工作模式:嗅探器、数据包记录器、网络入侵检测系统模式。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。网络入侵检测系统模式是最复杂的,而且是可 配置的。

Snort可以用来监测各种数据包如端口扫描等之外,还提供了以XML形式或数据库形式记录日志的各种插件。
Snort 2.9.8.0 发布,此版本更新内容:

[*] 新组件   *  SMBv2/SMBv3 support for file inspection.     *  Port override for metadata service in IPS rules.     *  AppID Lua detector performance profiling.     *  Perfmon dumps stats at fixed intervals from absolute time.     *  New preprocessor alert (120:18) to detect SSH tunneling over HTTP     *  New config option |disable_replace| to disable replace rule option.     *  New Stream configuration |log_asymmetric_traffic| to control logging to syslog.     *  New shell script in tools to create simple Lua detectors for AppID.    [*] 改进   *  sfip_t refactored to use struct in6_addr for all ip addresses.     *  Post-detection callback for preprocessors.     *  AppID support for multiple server/client detectors evaluating on same flow.     *  AppID API for DNS packets.     *  Memory optimizations throughout.     *  Support sending UDP active responses.     *  Fix perfmon tracking of pruned packets.      *  Stability improvements for AppID.     *  Stability improvements for Stream6 preprocessor.     *  Added improved support to block malware in FTP preprocessor.     *  Added support to differentiate between active and passive FTP connections.     *  Improvements done in Stream6 preprocessor to avoid having duplicate packets       in the DAQ retry queue.      *  Resolved an issue where reputation config incorrectly displayed 'blacklist' in      priority field even though 'whitelist' option was configured.     *  Added support for multiple expected sessions created per packet     *  Active response now supports MPLS

详细改进请看更新日志

下载:

来自:http://www.oschina.net/news/68541/snort-2-9-8-0