Snort

Snort wurde von Millionen von Menschen weltweit heruntergeladen und ist mit mehr als einer halben Million registrierter Benutzer eine Open-Source- und kostenlose Befehlszeilenanwendung, die erfolgreich für die Verhinderung, Erkennung und den Schutz von Netzwerken eingesetzt werden kann auf jedem GNU / Linux-Betriebssystem, fähig zur Paketprotokollierung und Echtzeit-Verkehrsanalyse.

Das Projekt kann in vier Modi konfiguriert werden: Sniffer-Modus, Paket-Logger-Modus, Network Intrusion Detection System (NIDS) -Modus sowie der Inline-Modus. Darüber hinaus enthält Snort vordefinierte Regeln, die von der Website des Projekts, die von der Community oder von den Snort-Entwicklern erstellt wurde, heruntergeladen werden können.

Trotz der Tatsache, dass Snort von der Kommandozeile läuft, ist Snort nicht sehr schwierig zu benutzen, aber es gibt viele Optionen, mit denen Sie spielen können. Es kombiniert erfolgreich die Vorteile von Anomalie-basierter Inspektion, Signatur und Protokoll und ist damit die am weitesten verbreitete IPS (Intrusion Prevention System) und IDS (Intrusion Detection System) Technologie.

Unterstützte Betriebssysteme und Verfügbarkeit

Da es als universelles Quellenarchiv zum Download zur Verfügung steht, wird Snort offiziell unter zahlreichen GNU / Linux-Distributionen unterstützt, aber offiziell unterstützt es mit Binärpaketen die Betriebssysteme Fedora, CentOS, FreeBSD und Microsoft Windows. Zu diesem Zeitpunkt werden sowohl 32-Bit- als auch 64-Bit-Architekturen unterstützt.

Snort kann problemlos auf zahlreichen GNU / Linux-Varianten installiert werden, da es in den Standard-Software-Repositorys gängiger Linux-Kernel-basierter Betriebssysteme zum Download verfügbar ist. Erste Schritte Dokumentation kann auf der Projektseite gefunden werden, die eine große Menge von Fragen im Zusammenhang mit der Einrichtung von Snort unter Debian, OpenSUSE, Fedora, CentOS, FreeBSD und NetBSD Betriebssystemen enthält.

Was ist neu in dieser Version:

• Stabilitätsverbesserung für den Stream6-Präprozessor
• Mehrere Probleme in HttpInspect-Präprozessor behoben
• Es wurde ein Problem mit der falschen Maskierung sensibler Daten behoben

Was ist neu in Version 2.9.9.0:

• Stabilitätsverbesserung für Stream6-Präprozessor
• Mehrere Probleme in HttpInspect-Präprozessor behoben
• Es wurde ein Problem mit der falschen Maskierung sensibler Daten behoben

Was ist neu in Version 2.9.8.3:

• Stabilitätsverbesserung für Stream6-Präprozessor
• Mehrere Probleme in HttpInspect-Präprozessor behoben
• Es wurde ein Problem mit der falschen Maskierung sensibler Daten behoben

Was ist neu in Version 2.9.8.2:

• Neue Ergänzungen:
• Future-flow- und DNS-API, die dem lua-Detektor ausgesetzt sind.
• Doppelte VLAN-Tagging-Unterstützung.
• Verbesserungen:
• Leistungsverbesserungen für AppID.
• Stabilitätsverbesserungen für Datei und ftp_telnet preprocessor.
• Mehrere Probleme mit SDF und Verschleierung wurden behoben.
• Ein Problem der unsachgemäßen Behandlung eines fehlerhaften DNS-Hosts in AppID wurde behoben.
• HTTP PAF akzeptiert alle Tokens zwischen Methoden- und Versionszeichenfolgen in einem Anforderungs-URI.
• Behobenes Problem beim Snort-Build mit & quot; - disable-perfprofiling & quot; Konfigurationsoption.
• Verbesserte Pantomime-Analyse durch Hinzufügen von Unterstützung zum Erkennen von Dateien nach unbekannten Headern und ohne Header.
• Problem mit der Dekomprimierung von gzip behoben. Wenn die Serverantwort angibt. Content-Encoding als GZIP, aber kein Content-Length-Feld für HTTP ver 1.0.
• Ende der Kopfzeile (EOH) Identifikation für HTTP-Antwort-Header über mehrere Pakete.
• Verbesserte Paketwiederzusammensetzung für HTTP.
• Problem mit Flash-LZMA-Dekomprimierung behoben.

Was ist neu in Version 2.9.8.0:

• Neue Ergänzungen:
• SMBv2 / SMBv3-Unterstützung für die Dateiprüfung.
• Port-Überschreibung für den Metadatendienst in IPS-Regeln.
• AppID Lua Detektor Leistung Profiling.
• Perfmon gibt Statistiken in festen Intervallen von der absoluten Zeit aus.
• Neue Präprozessorwarnung (120: 18) zum Erkennen von SSH-Tunneling über HTTP
• Neue Konfigurationsoption | disable_replace | Deaktivieren der Regelregel.
• Neue Stream-Konfiguration | log_asymmetric_traffic | um die Protokollierung in syslog zu steuern.
• Neues Shell-Skript in Tools zum Erstellen einfacher Lua-Detektoren für AppID.
• Verbesserungen:
• sfip_t wurde umstrukturiert, um struct in6_addr für alle IP-Adressen zu verwenden.
• Rückruf nach der Erkennung für Präprozessoren.
• AppID-Unterstützung für mehrere Server / Client-Detektoren, die denselben Fluss bewerten.
• AppID-API für DNS-Pakete.
• Speicheroptimierungen durchgängig.
• Unterstützt das Senden von UDP-aktiven Antworten.
• Reparieren der Perfmon-Verfolgung von zurückgeschnittenen Paketen.
• Stabilitätsverbesserungen für AppID.
• Stabilitätsverbesserungen für den Stream6-Präprozessor.
• Verbesserte Unterstützung für die Blockierung von Malware im FTP-Präprozessor.
• Unterstützung hinzugefügt, um zwischen aktiven und passiven FTP-Verbindungen zu unterscheiden.
• Verbesserungen im Stream6-Präprozessor, um doppelte Pakete in der DAQ-Wiederholungswarteschlange zu vermeiden.
• Es wurde ein Problem behoben, bei dem die Reputation-Konfiguration die "Blacklist" im Prioritätsfeld fälschlicherweise anzeigte, obwohl die Option "Whitelist" konfiguriert war.
• Zusätzliche Unterstützung für mehrere erwartete Sitzungen, die pro Paket erstellt wurden
• Aktive Antwort unterstützt jetzt MPLS

Was ist neu in Version 2.9.7.5:

• Added verbesserte Unterstützung für den Stream-Präprozessor für asynchrones TCP Verkehr.
• Aktive Antwort setzt das FIN-Flag nicht mehr auf dem letzten gesendeten Segment.

Was ist neu in Version 2.9.7.3:

• Neue Ergänzungen:
• Zusätzliche PAF-Unterstützung für SIP-basierten Datenverkehr
• Verbesserungen:
• Ein Backtracking-Problem wurde behoben, bei dem die 'protected_content'-Regeloption nicht übereinstimmte, nachdem eine Inhaltsregeloption gefunden wurde, die nicht übereinstimmte.
• Es wurde ein Problem behoben, bei dem die Berechtigungsstufen snort gelöscht wurden, bevor versucht wurde, die PID-Datei zu löschen, die während der höheren Berechtigungsstufe erstellt wurde
• Verbesserte Verarbeitung von SSLv3-Datenverkehr, IPv6-Erweiterungen, Neuzusammenstellung und Normalisierung von HTTPS-Sitzungen
• Leistungsverbesserungen für den Dateivorprozessor
• Stabilitätsverbesserungen für ftp_telnet preprocessor

Was ist neu in Version 2.9.7.2:

• src / build.h: Aktualisierung der Build-Nummer auf 177
• src / preprocessors / Stream6 / snort_stream_tcp.c: Dokumentation: Es gab ein Problem, bei dem die TCP-Trimmnormierung auftreten würde, wenn sie nicht notwendig war.
• src / decode.c, src / encode.c: Unterstützung für Cisco FabricPath-Decodierung / -Encodierung hinzugefügt. Stellen Sie sicher, dass flow_id in den DAQ_PktHdr_t kopiert wird.
• src / snort.h, src / sfutil / sfrt.c, src / sfutil / sfrt.h src / zielbasiert / sftarget_reader.c: Die ntohl-Konvertierung innerhalb der sfrt-API für IPv4 und IPv6 wurde verschoben.
• src / target-based / sftarget_protocol_reference.c Sucht die Anwendungsprotokoll-ID erst, nachdem die Sitzung eingerichtet wurde. Weisen Sie der Sitzung bei Verwendung der Host-Attributtabelle die Anwendungsprotokoll-ID zu.
• src / util.c: Änderungen zum Unterdrücken der Konfigurationsprotokollierung.
• src / file-process / file_service.c: Weisen Sie die Datei config einem Dateikontext zu, bevor Sie die HTTP-Fortsetzung überprüfen.

Was ist neu in Version 2.9.7.0:

• Neue Ergänzungen:
• Es wurde die Möglichkeit hinzugefügt, zusätzliche benutzerdefinierte 'x-forwarder-for' -HP-Feldnamen anzugeben. Ein neues HTTP-Inspection-Konfigurationselement wird verwendet, um eine Reihe von Feldnamen und ihre jeweilige Rangordnung anzugeben.
• Cache-Flow-Timeout für IP hinzugefügt.
• Verbesserungen:
• Die Behandlung von ICMPv6-Verkehr wurde korrigiert.
• Inline-Stream-Reassembly während Dateiverarbeitung behoben.
• Behobenes Racebedingungsproblem mit Perfmon stats file rollover.

Was ist neu in Version 2.9.6.0:

• Neue ErgänzungenFügen Sie Unterstützung hinzu, um die dateispezifische Verarbeitung im DCERPC-Präprozessor für Dateien, die über SMB übertragen werden, durchzuführen.
• Dateierfassung und -speicherung - speichert Dateien, wenn sie das Netzwerk über einen neuen Präprozessor durchlaufen, der die Unterstützung in HTTP, FTP, SMTP, POP, IMAP und SMB unterstützt. Weitere Informationen finden Sie unter README.file und README.file_server (unter tools / file_server).
• Add = Operatoren zur byte_test-Regeloption.
• Aktualisieren Sie SMTP, um Cyrus SASL-Authentifizierungsangriffe zu erkennen.
• Funktion zum Erfassen einer einzelnen Sitzung vom Anfang bis zum Ende hinzufügen.
• EXPERIMENTAL: Fügen Sie Unterstützung hinzu, um Dateitypidentifikation in Snort-Regeln zu nutzen. Siehe README.file_ips für Details.
• ImprovementsOnly injiziert aktive Antworten, wenn eine TCP-Sitzung eingerichtet wurde.
• Aktualisieren Sie die POP- und IMAP-Protokolle, um einfaches PAF zur besseren Identifizierung und Erfassung von Dateien zu unterstützen.
• Aktualisieren Sie SMTP, POP, IMAP, um die Überprüfung zu verbessern, wenn Mime-Grenzen auf Pakete verteilt sind.
• Problem beheben, um Zeilenende für Quoted Printable email attachments zu adressieren.
• Behandeln Sie bei der Verwendung von STARTTLS den SMTP-Handshake außerhalb der Reihenfolge, und beheben Sie die SSL-Überprüfung nur innerhalb des SSL-Handshakes.
• Aktualisieren Sie den Präprozessor für vertrauliche Daten, um eine statusbehaftete Suche nach Mustern über mehrere Pakete hinweg zu ermöglichen.
• Besprechen Sie einige Probleme im Snort-Handbuch und anderen READMEs für Flussbits und Tunneling.
• Speichern Sie die Paketdaten für ein schnelleres Debugging im Falle eines SIGABRT oder SIGBUS.
• Fix Ausrichtung von sfxhash Node für SPARC-Plattformen.

Was ist neu in Version 2.9.6.0 RC:

• Wir haben ein paar sehr kleine Dinge verbessert , aber wir sind wirklich auf der Suche nach mehr Tests in der Engine und Feedback über die Fähigkeiten, die wir darin eingebaut haben.

Was ist neu in Version 2.9.6.0 Beta:

• src / detection-plugins / sp_icmp_code_check.c: Erlaube einen negativen Wert in der ICMP-icode-xy-Bereichsüberprüfung. Dies ermöglicht, dass die Regel eine Überprüfung für null enthält
• src / preprocessors / Stream5 / snort_stream5_tcp.c: Deaktivierung der Erkennung, wenn die TCP-Verbindung bereits geschlossen wurde.
• src /: Dynamische-Präprozessoren / ftptelnet / ftpp_si.h, dynamische Präprozessoren / ftptelnet / pp_ftp.c, dynamische Präprozessoren / ftptelnet / snort_ftptelnet.c, Datei-Prozess / file_api.h: Fix FTP-Datei Verarbeitung .
• src / snort_bounds.h: Vermeiden Sie Assertion für die Speicherkopie von null Größe
• src /: dynamische-plugins / sf_dynamic_plugins.c, detection-plugins / sp_react.c: Nur Antwortseite injizieren, wenn die Sitzung eingerichtet ist.
• src / dynamische Präprozessoren / smtp / smtp_log.h, src / dynamische Präprozessoren / smtp / snort_smtp.c, src / dynamische Präprozessoren / smtp / snort_smtp.h, preproc_rules / preprocessor.rules, etc / gen-msg .map: Fügen Sie eine neue Präprozessor-Warnung hinzu, um Cyrus SASL-Authentifizierungsangriffe zu erkennen.
• src / dynamic-preprocessors / ssh / spp_ssh.c: Set_reassembly auf ABSOLUTE nur, wenn der Datenverkehr SSH ist. Verarbeiten Sie ssh-Version / ssh-Schlüssel in der Lage, init / key exchange und / oder verschlüsselte Daten in einem einzigen neu zusammengestellten Paket zu verarbeiten. Danke an Florian Westphal für das berichten.
• src / file-process / file_mime_process.c: Für IMAP sind der MIME und die Nachricht innerhalb des Hol-Körpers, der bei ")" endet.
• src /: dynamic-preprocessors / dns / spp_dns.c, dynamische Präprozessoren / ssh / spp_ssh.c, Ändern der Präprozessor-Reassembly-Richtlinie; Der Status des SSH-Präprozessorstatus wurde auf der Basis des Verzeichnisses und nicht von beiden geändert.
• src /: preprocessors / Stream5 / snort_stream5_tcp.c: Ignoriere die Lücke, wenn die Reassembly beim allerersten Paket der Sitzung dynamisch aktiviert wird.
• src / dynamic-preprocessors / dnp3 / spp_dnp3.c: Korrigiert die falschen Mempool-Warnungen. Danke an Bram für die Meldung dieses
• doc / snort_manual.pdf, doc / snort_manual.tex, configure.in, src / snort.c, src / util.c: Löschen Sie den freien Speicher vor und nach dem Laden der Konfiguration.
• src /: dynamische Präprozessoren / imap / snort_imap.c, dynamische Präprozessoren / pop / snort_pop.c, dynamische Präprozessoren / smtp / snort_smtp.c, Datei-Prozess / file_mime_process.c, sfutil / sf_email_attach_decode.c: 7-Bit-Decodierung von Binärdateianhängen zulassen.
• src / dynamic-preprocessors / sdf /: spp_sdf.c, spp_sdf.h: Vermeiden Sie die Anpassung der Teilregelstruktur während des Reloads.
• src / tag.c: Fixiere den Grenzwert-Check-Fehler, so dass das Limit des globalen markierten Pakets kein zusätzliches Tag erlaubt.
• src /: Datei-Prozess / Datei_Mime_Prozess.h, Datei-Prozess / Datei_Api.h, Datei-Prozess / Datei_Mime_Prozess.C, Datei-Prozess / Datei_Service.c, Dynamische-Präprozessoren / Imap / Snort_imap.c, Dynamisch- Präprozessoren / imap / spp_imap.c, dynamische Präprozessoren / smtp / snort_smtp.c, dynamische Präprozessoren / pop / snort_pop.c, dynamische Präprozessoren / pop / spp_pop.c: Fügen Sie einfache PAF-Unterstützung für POP und IMAP hinzu.
• src /: util.c, util.h, sfutil / sf_ip.c, sfutil / sf_ip.h: Fehler Fügen Sie sfip_convert_ip_text_to_binary () hinzu, um plattformunabhängige IPv4-Syntax zu erzwingen. Stellen Sie sicher, dass xatou (), xatol () und xatoup () Werte innerhalb des angegebenen Bereichs
zurückgeben
• doc / snort_manual.tex: Aktualisieren Sie das Dokument so, dass die Operatoren '=' in den Befehl byte_test
eingeschlossen werden
• src / preprocessors / Stream5 / snort_stream5_tcp.c: Stellen Sie sicher, dass das Ereignis INTERNAL_EVENT_SESSION_ADD nur im Status ESTABLISHED ist.
• src / sfutil / sf_email_attach_decode.c: Überprüfen Sie, ob die QP-Codierungszeichenfolge gültig ist, um ein falsches Decodieren des Zeilenendes zu vermeiden.
• src / dynamic-preprocessors / ftptelnet / snort_ftptelnet.c: Optimieren Sie die Konfigurationsausgabe, um der Konfigurationseingabe zu entsprechen. Danke an Reinoud Koornstra für den Vorschlag.
• src / Präprozessoren / Stream5 /: snort_stream5_icmp.c, snort_stream5_ip.c, snort_stream5_tcp.c, snort_stream5_udp.c: dynamische Präprozessoren / pop / snort_pop.c, dynamische Präprozessoren / smtp / snort_smtp.c, dynamische Präprozessoren / ssl / spp_ssl.c, encode.c, dynamische Präprozessoren / dcerpc2 / dce2_cl.c, dynamische Präprozessoren / dcerpc2 / dce2_session.h, dynamische Präprozessoren / dcerpc2 / snort_dce2.c, dynamische Präprozessoren / dns / spp_dns.c, dynamic-preprocessors / imap / snort_imap.c: Präprozessoren / spp_rpc_decode.c, Präprozessoren / spp_stream5.c, Präprozessoren / stream_api.h, Präprozessoren / stream_expect.c: Handle außer Betrieb SSL-Handshake in SMTP. Danke an Bram für die Berichterstattung.
• src / preprocessors / perf-base.c: Aktualisieren Sie die Kopfzeile, die am Anfang der Datei gedruckt wird.
• src / preprocessors / perf-base.c: Ändern Sie den Namen des Stat von Blocked Packets in Blockedictions.
• src / preprocessors / Stream5 / snort_stream5_session.c: Timeout einer Sitzung, wenn das Sitzungszeitlimit erreicht wird, anstatt auf das nominelle Timeout der Sitzung zu warten.
• configure.in, src / plugbase.c, src / rule_option_types.h, src / snort.c, src / detection-plugins / Makefile.am, src / detection-plugins /: sp_file_type.c, sp_file_type.h, src / detection-plugins / detection_options.c, src / dynamische Präprozessoren / Makefile.am, src / Dateiprozess / Makefile.am, src / Dateiprozess / file_api.h, src / file-process / file_service.c, src / file-process / file_service_config.c, src / Dateiprozess / file_service_config.h, src / Dateiprozess / libs / Makefile.am, src / Dateiprozess / libs / file_config.c, src / file-process / libs / file_config.h, src / Dateiprozess / libs / Datei_lib.c, src / Dateiprozess / libs / Datei_lib.h, src / Präprozessoren / spp_stream5.c, Werkzeuge / Makefile.am, doc /: README.file , README.file_ips, Makefile.am: Schlüsselwörter für die Dateiprüfung für IPS-Regeln.
• src / dynamische Präprozessoren / sdf /: sdf_pattern_match.c, sdf_pattern_match.h, spp_sdf.c, spp_sdf.h: Fügen Sie eine statusbehaftete Musterübereinstimmung von SDF-Mustern über Pakete hinweg hinzu.
• mkinstalldirs, doc / snort_manual.tex, src / detect.c, src / detection_util.h, src / fpdetect.c, src / parser.c, src / tag.c, src / tag.h, src / target -based / sf_attribute_table.y, tools / u2spewfoo / u2spewfoo.c: Unterstützung der Erfassung einzelner Sitzungen über die Tag-Regel-Option. Protokollieren Sie alle Pakete an derselben Stelle wie die ursprüngliche Warnung. Aktivieren Sie das Tagging für Pass-Regeln.
• src /: dynamische Präprozessoren / imap / snort_imap.c, dynamische Präprozessoren / imap / snort_imap.h, dynamische Präprozessoren / pop / snort_pop.c, dynamische Präprozessoren / pop / snort_pop.h, dynamische Präprozessoren / smtp / snort_smtp.c, dynamische Präprozessoren / smtp / snort_smtp.h, Dateiprozess / Datei_api.h, Dateiprozess / Datei_mime_prozess.c, Präprozessoren / str_search.c, Präprozessoren / str_search.h, sfutil / bnfa_search.c: Fügen Sie Stateful Mime Boundary Search hinzu, wenn Sie zwischen Paketen aufgeteilt werden.
• src / preprocessors / HttpInspect / client / hi_client.c: Ändern Sie die uri-Suche so, dass sie vom Methodenende statt vom Start der Nutzlast beginnt.
• configure.in, doc / README.file, doc / snort_manual.pdf, src / parser.c, src / preprocids.h, src / snort.c, src / util.c, src / detection-plugins / .cvsignore, src /dynamic-examples/Makefile.am, src / dynamic-plugins / sf_engine / .cvsignore, src / dynamische Präprozessoren / Makefile.am, src / dynamische Präprozessoren / Datei / Makefile.am, src / dynamische Präprozessoren / Datei / file_agent.c, src / dynamische-preprozessoren / file / file_agent.h, src / dynamische-preprozessoren / file / file_event_log.c, src / dynamische-preprozessoren / file / file_event_log.h, src / dynamische-preprozessoren / file / file_inspect_config. c, src / dynamische Präprozessoren / Datei / Datei_inspect_config.h, src / dynamische Präprozessoren / file / file_sha.c, src / dynamische Präprozessoren / file / file_sha.h, src / dynamic-Präprozessoren / file / sf_file.dsp, src / dynamic-preprocessors / Datei / spp_file.c, src / dynamische Präprozessoren / Datei / spp_file.h, src / dynamische Präprozessoren / sf_dynamic_initialize / sf_dynamic_initialize.dsp, src / Datei-Prozess / Makefile.am, src / Datei- process / circular_buffer.c, src / Dateiprozess / circular_buffer.h, src / file -process / file_api.h, src / Dateiprozess / file_capture.c, src / Dateiprozess / file_capture.h, src / Dateiprozess / file_mempool.c, src / Dateiprozess / file_mempool.h, src / file -process / file_resume_block.c, src / Dateiprozess / file_service.c, src / file-process / file_service.h, src / Dateiprozess / file_service_config.c, src / Dateiprozess / file_service_config.h, src / Dateiprozess / file_stats.c, src / Dateiprozess / file_stats.h, src / Dateiprozess / libs / file_config.c, src / Dateiprozess / libs / Datei_Konfig.h, src / Dateiprozess / libs / Dateikennung.c, src / Dateiprozess / libs / Dateikennung.h, src / Dateiprozess / libs / Datei_Lib. c, src / Dateiprozess / libs / Datei_lib.h, src / Dateiprozess / libs / file_sha256.h, Werkzeuge / Makefile.am, Werkzeuge / Dateiserver / Makefile.am, Werkzeuge / Dateiserver / README.file_server, Werkzeuge / file_server / file_server.c: Datei-Capture-Funktion hinzufügen und Datei-Inspection-Präprozessor einführen
• src / preprocessors / Stream5 / snort_stream5_tcp.c: Parse-Fehler, wenn Richtungsbezeichner fehlen. Danke an Bram Fabeg für den Bericht.
• src / ipv6_port.h: Entferne doppeltes Makro für GET_ORIG_IPH_PROTO.
• doc /: README.decode, README.gre, README.mpls, snort_manual.pdf, snort_manual.tex: Update des Handbuchs und anderer Dokumente im Zusammenhang mit dem Tunneling. Danke an Jason Poley dafür, dass du es notiert hast.
• src / parser.c: Überspringen Sie doppelte Service-Metadaten nicht so einfach.
• src /: log.c, mempool.c, parser.c, snort.c, util.c, detection-plugins / sp_ip_tos_check.c, detection-plugins / sp_pattern_match.c, detection-plugins / sp_replace.c, Erkennungs-Plugins / sp_session.c, Erkennungs-Plugins / sp_tcp_win_check.c, dynamische Präprozessoren / dns / spp_dns.c, dynamische Präprozessoren / ftptelnet / pp_ftp.c, dynamische Präprozessoren / ftptelnet / snort_ftptelnet.c, dynamische Präprozessoren / sdf / sdf_pattern_match.c, ausgabe-plugins / spo_log_ascii.c, ausgabe-plugins / spo_log_tcpdump.c, vorprozessoren / HttpInspect / utils / hi_paf.c, vorprozessoren / Stream5 / snort_stream5_tcp.c: Ersetzt veraltete bzero- und index-Aufrufe. Dank an Bill Parker
• src / dynamische Präprozessoren /: smtp / snort_smtp.c, ssl / spp_ssl.c, libs / ssl.c, libs / ssl.h: Nur auf SSL-Typ prüfen, wenn der SSL-Handshake nicht abgeschlossen ist. Überprüfen Sie nicht den Typ der SSL-Daten. Danke an Bram Fabeg für die Meldung.
• src / preprocessors /: HttpInspect / server / hi_server.c, HttpInspect / server / hi_server_norm.c, Stream5 / snort_stream5_tcp.c: Nur einmal pro Antworttext charset bom überprüfen; Setzen Sie charset nur einmal pro charset =
• src / profiler.c: Problem behoben, wenn pcaps von der Befehlszeile gelesen und mehrere Richtlinien verwendet wurden und --pcap-reset.
• src / detection-plugins / detection_options.c: Zähle die RTN-Perf-Zeit nicht in der OTN-Perf-Zeit. Dank an Reinoud für die Meldung.
• doc / README.flowbits: Tippfehler in Flussbits korrigieren ist keine Beispiele
• src / snort.c, src / snort.h, src / util.c, snort.8, doc / snort_manual.pdf, doc / snort_manual.tex: Fügen Sie einen Befehlszeilenschalter --no-interface-pidfile hinzu schnauben.
• src / preprocessors /: spp_stream5.c, Stream5 / stream5_common.h: Aktualisierte Streams exit-stats zur Verwendung von 'gefiltert' statt gelöscht.
• src /: detection_util.h, dynamische Präprozessoren / sip / spp_sip.c: Setzen Sie sip / http-Puffer nicht auf null
• src / dynamic-plugins / sf_engine / sf_snort_plugin_api.c: Gibt eine Nichtübereinstimmung zurück, wenn HTTP-Puffer nicht angefordert wurde
• src / snort.c: Bugs behoben: Capture Paketdaten für Sigabrt und Sigbus
• doc / readme.dcompc2, doc / snort_manual.pdf, doc / snort_manual.tex, usw. / gen-msg.map, preproc_rules / preprocessor.rules, src / active.c, src / active.h, src / encode.c, src / encode.h, src / generators.h, src / dynamische-plugins / sf_dynamic_plugins.c, src / dynamische-plugins / sf_dynamic_preprocessor.h, src / dynamische-preprozessors / dcerpc2 / dce2_co.c, src / dynamische-preprozessors / dcerpc2 / dce2_config.c, src / dynamische-vorprozessoren / dcerpc2 / dce2_config.h, src / dynamische-vorprozessoren / dzerpc2 / dce2_event.c, src / dynamische-vorprozessoren / dcerpc2 / dce2_event.h, src / dynamische-preprozessoren / dcerpc2 / dce2_memory.c, src / Dynamische-Präprozessoren / dcerpc2 / dce2_memory.h, src / dynamische Präprozessoren / dcerpc2 / dce2_smb.c, src / dynamische Präprozessoren / dcerpc2 / dce2_smb.h, src / dynamische Präprozessoren / dcerpc2 / dce2_stats. h, src / dynamische Präprozessoren / dcerpc2 / snort_dce2.c, src / dynamische Präprozessoren / dcerpc2 / snort_dce2.h, src / dynamische Präprozessoren / dcerpc2 / spp_dce2.c, src / dynamische Präprozessoren / dcerpc2 / spp_dce2.h, src / dynamische Präprozessoren / dcerpc2 / includes / smb.h, src / dyn Amic-Präprozessoren / ftptelnet / snort_ftptelnet.c, src / dynamische Präprozessoren / imap / snort_imap.c, src / dynamische Präprozessoren / pop / snort_pop.c, src / dynamische Präprozessoren / smtp / snort_smtp.c, src / file process / file_api.h, src / Dateiprozess / file_mime_process.c, src / file-process / file_service.

  c, src / Dateiprozess / libs / Dateikennung.c, src / Dateiprozess / libs / Dateikennung.h, src / Dateiprozess / libs / Datei_Lib.c, src / Dateiprozess / libs / Datei_Lib .h, src / preprocessors / snort_httpinspect.c, src / Präprozessoren / Stream5 / snort_stream5_tcp.c: SMB-Dateiunterstützung hinzufügen

Was ist neu in Version 2.9.5.6:

• src/preprocessors/Stream5/snort_stream5_tcp.c: Fügen Sie die NULL-Prüfung für Präprozessoren hinzu, die nach PAF suchen, bevor sie nach einer tatsächlichen TCP-Sitzung suchen
• src / detection-plugins /: sp_byte_check.c, sp_byte_jump.c, sp_isdataat.c, sp_pattern_match.c: Testen, ob die Byte-extrahierte Distanz und / oder der Offset innerhalb der Grenzen des Suchpuffers liegt. Danke an Nathan Fowler dafür, dass er das Problem bemerkt hat.
• src / preprocessors / HttpInspect / client / hi_client.c: Löscht den Cookie-Normalisierungspuffer, um eine versehentliche Null-Dereferenzierung in der Pipelineanfrage zu vermeiden. Danke an Michael Galapchuk für die Meldung des Problems.

Was ist neu in Version 2.9.5.5:

• Verbesserungen:
• Adressproblem mit dem SMTP-Präprozessor und der ignore_tls_data-Konfiguration, um die Überprüfung nach dem Verschlüsseln einer SMTP-Sitzung ordnungsgemäß zu beenden.
• Deaktivieren Sie alle Regelauswertungen (im Gegensatz zu nur Regeln mit schnellen Mustern) für Pakete in einer zuvor blockierten Sitzung.
• Korrigiert, wenn der perfmon-Präprozessor schreibt, dass Statistiken auftreten, sobald sowohl die Zeit- als auch die Paketzählkriterien erfüllt sind.
• Erzwingen Sie dieselben Einschränkungen für relative PCRE für HTTP-Puffer aus Regeln für gemeinsam genutzte Bibliotheken, die bereits mit Textregeln vorhanden waren.

Was ist neu in Version 2.9.5.3:

• Verbesserungen:
• Leistungsverbesserungen, um unnötige Arbeit zu vermeiden, die Größe von Datenstrukturen zu reduzieren und die Verarbeitung für HTTP-normalisierte Puffer zu bereinigen.
• Überschreibe die Anzahl der erwarteten Verbindungen (z. B. FTP-Datenkanal), um ein Speicherwachstum zu verhindern
• Probleme mit Adressen beim erneuten Laden von Reputation-Lookup-Tabellen, wenn mehr Adressen hinzugefügt werden.
• Adresse Problem mit potenziellen hängen beim Herunterfahren der Control Socket-Konfiguration neu laden Verarbeitungsthread.

Was ist neu in Version 2.9.4.6:

• Verbesserte Unterstützung für DAQ-Entscheidungen von Whitelist und Blacklist für 6in4 und 4in6 gekapselten Verkehr (ähnlich wie Teredo & GTP). Details zur Konfiguration finden Sie im Snort-Handbuch.
• Vermeiden Sie, die Länge der IP-Optionen in frag3 zu ändern, wenn Sie doppelte 0-Offset-Fragmente mit IP-Optionen erhalten.

Was ist neu in Version 2.9.4.5:

• Entfernte Proxy-Informationen von normalisierten HTTP-Uri zur korrekten Aktivierung Matching von Mustern.
• Update zum Protokollieren von Paketen nach unified2 über alle Warnungen in neu zusammengesetzten Paketen.