Suricata - новая открытая система обнаружения атак
 

После трех лет разработки объединение OISF [http://www.openinfosecfoundation.org/] (Open Information Security Foundation) начало бета-тестирование новой открытой системы обнаружения и предотвращения атак Suricata IDS/IPS, базирующейся на принципиально новых механизмах работы. Suricata создается с целью создания новых идей и технологий, а не просто разработки очередного нового инструмента дублирующего возможности других продуктов отрасли. Код проекта распространяется под лицензией GPLv2.

Особенности Suricata:

* Работа в многопоточном режиме, позволяет наиболее полно задействовать возможности многоядерных и многопроцессорных систем;
* Поддержка автоматического определения протоколов: IP, TCP, UDP, ICMP, HTTP, TLS, FTP и SMB. Пользователь системы имеет возможность определения типа протокола в правилах, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту);
* Подготовлена специальная HTP библиотека для нормализации и разбора HTTP трафика. Библиотека может быть не только задействована в составе движка Suricata, но и использована в сторонних проектах. Код библиотеки написан автором проекта Mod_Security.
* Поддержка разбора сжатого методом Gzip содержания пакетов;
* Очень быстрый механизм сопоставления по маске с большими наборами IP адресов;
* Поддержка стандартных интерфейсов для перехвата трафика NFQueue, IPFRing, LibPcap, IPFW. Унифицированный формат вывода результатов проверки позволяет использовать стандартные утилиты для анализа;
* Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать ее в других правилах;
* Наличие модуля для ведения подробного лога транзитных HTTP пересылок, лог сохраняется в стандартном формате apache;
* В ближайших планах:
o Формирование общедоступной распределенной базы репутации IP адресов;
o Возможность аппаратной акселерации на стороне GPU, за счет задействования CUDA и OpenCL.

01.01.2010
http://www.opennet.ru/opennews/art.shtml?num=24877

хмм .... странно, 3 года затратили !

>>* Поддержка автоматического определения протоколов: IP, TCP, UDP, ICMP, HTTP,
>> TLS, FTP и SMB. Пользователь системы имеет возможность определения типа
>> протокола в правилах, без привязки к номеру порта (например, блокировать HTTP
>> трафик на нестандартном порту);
... тут идет сокращение множества контрллируемых ситуаций....
если блокировать по порту то какая разница какой протокол TCP или UDP , а если я на IP пишу свой протокол 8)) то как они будут фильтровать.... к примеру банковский кредитный эксперт сел , у него списифический софт , работает на уровне IP и все приплыли чтоли? Или идет исходящий трафик "червя", как его будет блокировать система не ясно!!!

и такое внимание к HTTP запросам когда можно все сделать на уровне DNS запросов
8)))

... ладно пусть бы лучше рассказали как они бы боролись с TOR или Skype ?
даже к примеру мой бридж(на который потратил 2 месяца) ломает Skype хребет на счет раз два!

я думаю он себя оправдает...

.Life, время покажет...

Я думаю не время, если при старте будет много багов тогда время уже не покажет.

Самое интересное они не реализовали =(

*пошел натягивать на Фряху*

))))натянишь???