Snort

Завантажені мільйонами людей по всьому світу, а також більш ніж півмільйона зареєстрованих користувачів, Snort - це програма з відкритими кодами та безкоштовною командною лінією, яка може бути успішно використана для запобігання, виявлення та захисту мережевого втручання. на будь-якій операційній системі GNU / Linux, здатній вести журнал пакетів і аналіз трафіку в режимі реального часу.

Проект може бути налаштований у чотирьох режимах: Режим Sniffer, Режим пакетного журналювання, Режим виявлення мережевого втручання (NIDS), а також Режим Inline. Крім того, Snort постачається із заздалегідь визначеними правилами, які можна завантажити з веб-сайту проекту, створеного спільнотою або розробниками Snort.

Незважаючи на те, що він запускається з командного рядка, Snort не дуже важко використовувати, але існує багато варіантів для вас. Він успішно поєднує в собі переваги перевірки на основі аномалій, підпису та протоколу, що робить його найбільш широко розгорнутою IPS (Система попередження вторгнень) та технологією IDS (Intrusion Detection System).

Підтримувані операційні системи та доступність

Оскільки він доступний для завантаження як універсальний архів джерел, Snort офіційно підтримується в численних дистрибутивах GNU / Linux, але офіційно підтримує, з двійковими пакетами, операційні системи Fedora, CentOS, FreeBSD та Microsoft Windows. Наразі підтримуються як 32-розрядні, так і 64-бітні архітектури.

Snort можна легко встановити на численні атрибути GNU / Linux, оскільки він доступний для завантаження із стандартних програмних сховищ популярних операційних систем на базі ядра Linux. На початковій сторінці проекту ви знайдете інформацію про початкову документацію, яка охоплює величезну кількість питань, пов'язаних з налаштуванням Snort в Debian, openSUSE, Fedora, CentOS, FreeBSD та операційних системах NetBSD.

Що нового в цьому випуску:

• Покращення стабільності для препроцесора Stream6
• Виправлено кілька проблем у препроцесорі HttpInspect
• Виправлена ​​помилка неправильного маскування конфіденційних даних

Що нового у версії 2.9.9.0:

• Покращення стабільності для препроцесора Stream6
• Виправлено кілька проблем у препроцесорі HttpInspect
• Виправлена ​​помилка неправильного маскування конфіденційних даних

Що нового у версії 2.9.8.3:

• Покращення стабільності для препроцесора Stream6
• Виправлено кілька проблем у препроцесорі HttpInspect
• Виправлена ​​помилка неправильного маскування конфіденційних даних

Що нового у версії 2.9.8.2:

• Нові додатки:
• Майбутній поточний і DNS-API піддається детектору Lua
• Подтримка з подвійною міткою VLAN
• Покращення:
• Покращення продуктивності AppID.
• Поліпшення стабільності до файлу та препроцесора ftp_telnet.
• Виправлено декілька проблем із SDF та обфускацією.
• Вирішено проблему неналежної обробки помилкового DNS-хосту в AppID.
• HTTP PAF приймає всі токени між методом і рядками версії в URI запиту.
• Вирішено проблему знімання з використанням "- disable-perfprofiling" & quot; налаштувати параметр.
• Покращений аналіз мім, додаючи підтримку для виявлення файлів після невідомих заголовків і без заголовків.
• Виправлена ​​проблема при декомпресії gzip. Якщо відповідає відповідь сервера. Content-Encoding як GZIP, але немає поля Content-Length для HTTP версії 1.0.
• Ідентифікатор кінця заголовка (EOH) для заголовка відповіді HTTP, що охоплює кілька пакетів.
• Покращена повторна збірка пакетів для HTTP.
• Виправлена ​​помилка декомпресії Flash LZMA.

Що нового у версії 2.9.8.0:

• Нові додатки:
• Підтримка SMBv2 / SMBv3 для перевірки файлів.
• Перевизначення порту для служби метаданих в правилах IPS.
• профілювання ефективності детектора AppIA Lua
• Статистика Perfmon дампів за фіксованими інтервалами від абсолютного часу.
• Новий сигнал попереднього обробника (120: 18) для виявлення тунелювання SSH через HTTP
• Новий параметр config | disable_replace | щоб вимкнути параметр заміни правила.
• Конфігурація New Stream | log_asymmetric_traffic | щоб контролювати вхід до системного журналу.
• Новий сценарій оболонки в інструментах для створення простих детекторів Lua для AppID.
• Покращення:
• sfip_t переформатовано використовувати struct in6_addr для всіх ip-адрес
• Зворотний виклик після виявлення для попередніх процесорів.
• Підтримка AppID для декількох детекторів сервера / клієнта, які оцінюють той самий потік.
• AppID API для пакетів DNS
• Оптимізація пам'яті усе.
• Підтримка надсилання активних відповідей UDP.
• Виправте першочерговий відстеження обрізаних пакетів.
• Покращення стабільності для AppID.
• Покращення стабільності для препроцесора Stream6.
• Додана поліпшена підтримка для блокування шкідливого програмного забезпечення в препроцесорі FTP.
• Додана підтримка для розрізнення активних і пасивних FTP-з'єднань.
• Покращення, зроблені в препроцесорі Stream6, щоб уникнути дублікатів пакетів у черзі повторення DAQ.
• Вирішено проблему, в якій конфігурація репутації неправильно відображає "чорний список" у полі пріоритету, навіть якщо параметр "білий список" налаштовано.
• Додана підтримка кількох очікуваних сеансів, створених для кожного пакета
• Активна відповідь тепер підтримує MPLS

Що нового у версії 2.9.7.5:

• Додана вдосконалена підтримка препроцесора Stream для асинхронного TCP трафік
• Активна відповідь більше не встановлює прапорець FIN на останньому відправленому сегменті.

Що нового у версії 2.9.7.3:

• Нові додатки:
• Додана підтримка PAF для трафіку на основі SIP
• Покращення:
• Вирішено проблему відхилення, коли параметр правила "захищений_зміст" не відповідав у вмісті за правилом вмісту, який не відповідає.
• Вирішили проблему, в якій snort знизив рівні привілеїв, перш ніж намагатися видалити його PID-файл, створений під час підвищення рівня привілеїв
• Покращена обробка трафіку SSLv3, розширення IPv6, повторна збірка та нормування сеансу HTTPS
• Покращення продуктивності для препроцесора файлів
• Покращення стабільності для препроцесора ftp_telnet

Що нового у версії 2.9.7.2:

• src / build.h: оновлення номера збірки до 177
• src / preprocessors / Stream6 / snort_stream_tcp.c: Документація: виправлена ​​проблема, при якій нормалізація обробки TCP відбудеться, коли вона не потрібна.
• src / decode.c, src / encode.c: Додана підтримка декодування / кодування Cisco FabricPath. Переконайтеся, що flow_id скопійовано в DAQ_PktHdr_t.
• src / snort.h, src / sfutil / sfrt.c, src / sfutil / sfrt.h src / target-based / sftarget_reader.c: Переміщено перетворення NTOHL всередині sfrt-оболонки як для IPv4, так і для IPv6.
• src / target-based / sftarget_protocol_reference.c Пошук ідентифікатора протоколу додатка лише після встановлення сеансу. Призначення ідентифікатора протоколу додатка для сеансу, коли використовується таблиця атрибутів хоста.
• src / util.c: зміни для придушення реєстрації конфігурації.
• src / file-process / file_service.c: Призначте конфігурацію файлу у контексті файлу, перш ніж перевірити, чи продовжується HTTP.

Що нового у версії 2.9.7.0:

• Нові додатки:
• Додана можливість вказати додаткові спеціальні імена типу http для x-forwarder-for. Новий елемент конфігурації інспекції HTT використовується для вказування набору назв полів та відповідного порядку їх попередження.
• Додано тайм-аут потоку кешу для IP
• Покращення:
• Виправлена ​​обробка трафіку ICMPv6
• Виправлено вбудований потік повторного об'єднання під час обробки файлів.
• Викликати проблему із задоволенням стану перегонів з файлом Perfmon.

Що нового у версії 2.9.6.0:

• Нові додаванняДодати підтримку для виконання файлів-специфічної обробки в препроцесорі DCERPC для файлів, що передаються через SMB.
• Захоплення та зберігання файлів - зберігає файли, коли вони перетинають мережу через новий препроцесор, який підтримує HTTP, FTP, SMTP, POP, IMAP та SMB. Див. README.file та README.file_server (під tools / file_server) для деталей.
• Додати = оператори до опції правила byte_test
• Оновити SMTP для виявлення атаки аутентифікації Cyrus SASL.
• Додайте можливість захоплення одного сеансу від початку до кінця.
• ЕКСПЕРИМЕНТАЛЬНЕ: додайте підтримку, щоб використовувати ідентифікатор типу файлів у правилах snort. Див. README.file_ips докладніше.
• УдосконаленняОб'єднувати лише активні відповіді, коли встановлено сеанс TCP
• Оновіть протоколи POP і IMAP для підтримки простого PAF для покращення ідентифікації та захоплення файлів.
• Оновіть SMTP, POP, IMAP для покращення перевірки, коли межі MIM розбиті на пакети.
• Адреса електронної пошти, щоб неправильно відповісти на кінець рядка для вкладених повідомлень із цитуванням для друку.
• Використовувати рукостискання SSL в режимі SMTP, коли використовується STARTTLS, і виправляє перевірки типу SSL тільки в русі SSL.
• Оновіть попередньопроцесорні дані для конфіденційної інформації, щоб виконати пошук за шаблонами в різних пакетах.
• Зверніть увагу на декілька проблем, що містяться в посібнику Snort та інших README, для поточних потоків та тунелювання.
• Збережіть пакетні дані для швидшої налагодження у випадку SIGABRT або SIGBUS.
• Виправте вирівнювання вузла sfxhash для платформ SPARC.

Що нового в версії 2.9.6.0 RC:

• Ми покращили кілька незначних речей , але ми дійсно шукаємо додаткових тестів у двигуні та відгуки про можливості, які ми вбудували в нього.

Що нового в версії 2.9.6.0 Бета:

• src / detection-plugins / sp_icmp_code_check.c: Дозволити негативне значення в командному рядку ICMP icode xy. Це дозволяє правила включити перевірку на нуль
• src / preprocessors / Stream5 / snort_stream5_tcp.c: вимкнути виявлення, коли TCP-з'єднання було закрито.
• src /: dynamic-preprocessors / ftptelnet / ftpp_si.h, dynamic-preprocessors / ftptelnet / pp_ftp.c, dynamic-preprocessors / ftptelnet / snort_ftptelnet.c, file-process / file_api.h: Виправлення обробки файлів FTP-даних
• src / snort_bounds.h: уникайте твердження для копії пам'яті з нульовим розміром
• src /: динамічні плагіни / sf_dynamic_plugins.c, detect-plugins / sp_react.c: лише вставляйте сторінку відповіді під час встановлення сеансу.
• src / dynamic-preprocessors / smtp / smtp_log.h, src / dynamic-preprocessors / smtp / snort_smtp.c, src / dynamic-preprocessors / smtp / snort_smtp.h, preproc_rules / preprocessor.rules, etc / gen-msg .map: додати новий попереджувальний попереджувач для виявлення атаки аутентифікації Cyrus SASL.
• src / dynamic-preprocessors / ssh / spp_ssh.c: Set_reassembly для ABSOLUTE, тільки якщо трафік SSH. Обов'язково обмінюйте ключі ssh / ssh для обміну init / key і / або зашифрованими даними в межах одного повторно зібраного пакета. Дякуємо Флоріану Вестфалю за повідомлення про це.
• src / file-process / file_mime_process.c: Для IMAP MIME і повідомлення будуть знаходитись всередині тіла завантаження, яке завершиться в & quot;) & quot ;.
• src /: динамічні препроцесори / dns / spp_dns.c, динамічні препроцесори / ssh / spp_ssh.c, змінити політику повторного збирання передпроцесора; Змінено перехід стану препроцесора SSH на основі диска, а не обох.
• src /: preprocessors / Stream5 / snort_stream5_tcp.c: ігноруйте прогалину, коли динамічно вмикається повторне об'єднання в самий перший пакет сеансу.
• src / dynamic-preprocessors / dnp3 / spp_dnp3.c: Виправте неправильні попередження Mempool. Дякую Брам за повідомлення про це
• doc / snort_manual.pdf, doc / snort_manual.tex, configure.in, src / snort.c, src / util.c: Обрізати пам'ять перед і після перезавантаження конфігурації.
• src /: dynamic-preprocessors / imap / snort_imap.c, dynamic-preprocessors / pop / snort_pop.c, dynamic-preprocessors / smtp / snort_smtp.c, file-process / file_mime_process.c, sfutil / sf_email_attach_decode.c: Дозволити 7-бітне розшифрування вкладеного файлу бінарних файлів.
• src / dynamic-preprocessors / sdf /: spp_sdf.c, spp_sdf.h: уникати часткового збігу правил під час перезавантаження.
• src / tag.c: Виправте помилку граничної перевірки, так що глобальний обмежений пакет тегів не дозволяє додавати додатковий тег.
• src /: file-process / file_mime_process.h, file-process / file_api.h, file-process / file_mime_process.c, file-process / file_service.c, dynamic-preprocessors / imap / snort_imap.c, preprocessors / imap / spp_imap.c, dynamic-preprocessors / smtp / snort_smtp.c, dynamic-preprocessors / pop / snort_pop.c, dynamic-preprocessors / pop / spp_pop.c: Додайте просту підтримку PAF для POP і IMAP.
• src /: util.c, util.h, sfutil / sf_ip.c, sfutil / sf_ip.h: помилки Додайте sfip_convert_ip_text_to_binary (), щоб застосувати синтаксис IPv4 для платформи. Переконайтеся, що xatou (), xatol () та xatoup () повертають значення у вказаному діапазоні
• doc / snort_manual.tex: оновіть документ, щоб додати операторів '=' до команди byte_test
• src / preprocessors / Stream5 / snort_stream5_tcp.c: Переконайтеся, що подія INTERNAL_EVENT_SESSION_ADD тільки в стані ESTABLISHED.
• src / sfutil / sf_email_attach_decode.c: перевірте, чи правильний рядок кодування QP, щоб уникнути декодування кінця рядка неправильно.
• src / dynamic-preprocessors / ftptelnet / snort_ftptelnet.c: Виправлення конфігурації виводу, що відповідає вводу конфігурації. Дякую Рейноуд Корнстра за пропозицію.
• src / preprocessors / Stream5 /: snort_stream5_icmp.c, snort_stream5_ip.c, snort_stream5_tcp.c, snort_stream5_udp.c: динамічні препроцесори / pop / snort_pop.c, динамічні препроцесори / smtp / snort_smtp.c, динамічні препроцесори / ssl / spp_ssl.c, encode.c, динамічні препроцесори / dcerpc2 / dce2_cl.c, динамічні препроцесори / dcerpc2 / dce2_session.h, динамічні препроцесори / dcerpc2 / snort_dce2.c, динамічні препроцесори / dns / spp_dns.c, динамічні препроцесори / imap / snort_imap.c: препроцесори / spp_rpc_decode.c, препроцесори / spp_stream5.c, препроцесори / stream_api.h, препроцесори / stream_expect.c: обробка поза замовленням рукостискання SSL у SMTP. Дякую Брам за повідомлення про це.
• src / preprocessors / perf-base.c: оновіть заголовок, який надруковано на початку файла.
• src / preprocessors / perf-base.c: змінити назву статів з блокованих пакетів на блокові вердикти.
• src / preprocessors / Stream5 / snort_stream5_session.c: Тайм-аут сеансу, коли таймаут сеанс, замість очікування на тайм-аут сесії.
• configure.in, src / plugbase.c, src / rule_option_types.h, src / snort.c, src / detection-plugins / Makefile.am, src / detection-plugins /: sp_file_type.c, sp_file_type.h, src / detection plugins / detection_options.c, src / dynamic-preprocessors / makefile.am, src / file-process / makefile.am, src / file-process / file_api.h, src / file-process / file_service.c, src / file-process / file_service_config.c, src / file-process / file_service_config.h, src / file-process / libs / Makefile.am, src / file-process / libs / file_config.c, src / file-process / libs / file_config.h, src / file-process / libs / file_lib.c, src / file-process / libs / file_lib.h, src / preprocessors / spp_stream5.c, tools / Makefile.am, doc /: README.file , README.file_ips, Makefile.am: ключові слова для перевірки файлів для правил IPS.
• src / dynamic-preprocessors / sdf /: sdf_pattern_match.c, sdf_pattern_match.h, spp_sdf.c, spp_sdf.h: додавання збіжності з шаблоном sdf у пакетах.
• mkinstalldirs, doc / snort_manual.tex, src / detect.c, src / detection_util.h, src / fpdetect.c, src / parser.c, src / tag.c, src / tag.h, src / target based / sf_attribute_table.y, tools / u2spewfoo / u2spewfoo.c: Підтримка одиночного сеансу за допомогою параметра rule tag. Записуйте всі пакети в тому ж місці, що і попереднє сповіщення. Увімкніть позначення на правила пропуску.
• src /: dynamic-preprocessors / imap / snort_imap.c, dynamic-preprocessors / imap / snort_imap.h, dynamic-preprocessors / pop / snort_pop.c, dynamic-preprocessors / pop / snort_pop.h, dynamic-preprocessors / smtp / snort_smtp.c, динамічні препроцесори / smtp / snort_smtp.h, file-process / file_api.h, file-process / file_mime_process.c, preprocessors / str_search.c, preprocessors / str_search.h, sfutil / bnfa_search.c: Додайте Stateim MIME граничний пошук, коли розділений між пакетами.
• src / preprocessors / HttpInspect / client / hi_client.c: змінити пошук uri, щоб почати з кінця методу, а не до початку корисної навантаження.
• configure.in, doc / README.file, doc / snort_manual.pdf, src / parser.c, src / preprocids.h, src / snort.c, src / util.c, src / detection-plugins / .cvsignore, src /dynamic-examples/Makefile.am, src / dynamic-plugins / sf_engine / .cvsignore, src / dynamic-preprocessors / makefile.am, src / dynamic-preprocessors / file / makefile.am, src / dynamic-preprocessors / file / file_agent.c, src / dynamic-preprocessors / file / file_agent.h, src / dynamic-preprocessors / file / file_event_log.c, src / dynamic-preprocessors / file / file_event_log.h, src / dynamic-preprocessors / file / file_inspect_config. c, src / dynamic-preprocessors / file / file_inspect_config.h, src / dynamic-preprocessors / file / file_sha.c, src / dynamic-preprocessors / file / file_sha.h, src / dynamic-preprocessors / file / sf_file.dsp, src / dynamic-preprocessors / file / spp_file.c, src / dynamic-preprocessors / file / spp_file.h, src / dynamic-preprocessors / sf_dynamic_initialize / sf_dynamic_initialize.dsp, src / file-process / Makefile.am, src / file- process / circular_buffer.c, src / file-process / circular_buffer.h, src / file -process / file_api.h, src / file-process / file_capture.c, src / file-process / file_capture.h, src / file-process / file_mempool.c, src / file-process / file_mempool.h, src / file -process / file_resume_block.c, src / file-process / file_service.c, src / file-process / file_service.h, src / file-process / file_service_config.c, src / file-process / file_service_config.h, src / file-process / file_stats.c, src / file-process / file_stats.h, src / file-process / libs / file_config.c, src / file-process / libs / file_config.h, src / file-process / libs / file_identifier.c, src / file-process / libs / file_identifier.h, src / file-process / libs / file_lib. c, src / file-process / libs / file_lib.h, src / file-process / libs / file_sha256.h, tools / Makefile.am, tools / file_server / Makefile.am, tools / file_server / README.file_server, tools / file_server / file_server.c: додайте функцію захоплення файлів і введіть файл, перевірте препроцесор
• src / preprocessors / Stream5 / snort_stream5_tcp.c: помилка обробки, якщо є відсутні специфікатори напряму. Дякую Брам Фабек за звіт.
• src / ipv6_port.h: видалити копію макросу для GET_ORIG_IPH_PROTO.
• doc /: README.decode, README.gre, README.mpls, snort_manual.pdf, snort_manual.tex: Оновлення керівництва та інших документів, пов'язаних з тунелюванням. Дякую Джейсону Полі за те, що він помітив це.
• src / parser.c: не пропускайте дубльовані метадані служби.
• src /: log.c, mempool.c, parser.c, snort.c, util.c, виявлення-плагіни / sp_ip_tos_check.c, виявлення-плагіни / sp_pattern_match.c, виявлення-плагіни / sp_replace.c, детектурні плагіни / sp_session.c, детектурні плагіни / sp_tcp_win_check.c, динамічні препроцесори / dns / spp_dns.c, динамічні препроцесори / ftptelnet / pp_ftp.c, динамічні препроцесори / ftptelnet / snort_ftptelnet.c, динамічні препроцесори / sdf / sdf_pattern_match.c, output-plugins / spo_log_ascii.c, output-plugins / spo_log_tcpdump.c, preprocessors / HttpInspect / utils / hi_paf.c, preprocessors / Stream5 / snort_stream5_tcp.c: Замінити застарілі виклики bzero та індекс. Кредити Біллу Паркеру
• src / dynamic-preprocessors /: smtp / snort_smtp.c, ssl / spp_ssl.c, libs / ssl.c, libs / ssl.h: Перевірте SSL-тип тільки тоді, коли рукостискання SSL не завершено. Не перевіряйте, чи потрібно вводити дані SSL. Дякуємо Брему Фабже за повідомлення про це.
• src / preprocessors /: HttpInspect / server / hi_server.c, HttpInspect / server / hi_server_norm.c, Stream5 / snort_stream5_tcp.c: перевіряти тільки символи кодування bom один раз для тіла відповідей; Лише встановіть кодування на кожен символ =
• src / profiler.c: Виправлено помилку під час читання pcaps з командного рядка та використання декількох правил та --pcap-reset.
• src / detection-plugins / detection_options.c: Не враховуйте час RTN в первинному часі OTN. Кредити Рейноуд за повідомлення про це.
• doc / README.flowbits: виправлення помилки при прикладах ієрогліфів flowbits
• src / snort.c, src / snort.h, src / util.c, snort.8, doc / snort_manual.pdf, doc / snort_manual.tex: додайте перемикач командного рядка --no-interface-pidfile в хмільно.
• src / preprocessors /: spp_stream5.c, Stream5 / stream5_common.h: Останню статистику виходу Stream, щоб використовувати фільтр, а не випадати.
• src /: detection_util.h, dynamic-preprocessors / sip / spp_sip.c: Не встановлювати буфер SIP / HTTP до нуля
• src / dynamic-plugins / sf_engine / sf_snort_plugin_api.c: повернення невідповідності, якщо запит http буфер не встановлено
• src / snort.c: помилки Виправлено: Захоплення пакетних даних для sigabrt та sigbus
• doc / README.dcerpc2, doc / snort_manual.pdf, doc / snort_manual.tex, etc / gen-msg.map, preproc_rules / preprocessor.rules, src / active.c, src / active.h, src / encode.c, src / generodes.h, src / dynamic-plugins / sf_dynamic_plugins.c, src / dynamic-plugins / sf_dynamic_preprocessor.h, src / dynamic-preprocessors / dcerpc2 / dce2_co.c, src / dynamic-preprocessors / dcpd2 / dce2_config.c, src / dynamic-preprocessors / dcerpc2 / dce2_config.h, src / dynamic-preprocessors / dcerpc2 / dce2_event.c, src / dynamic-preprocessors / dcerpc2 / dce2_event.h, src / dynamic-preprocessors / dcerpc2 / dce2_memory.c, src / dynamic-preprocessors / dcerpc2 / dce2_memory.h, src / dynamic-preprocessors / dcerpc2 / dce2_smb.c, src / dynamic-preprocessors / dcerpc2 / dce2_smb.h, src / dynamic-preprocessors / dcerpc2 / dce2_stats. h, src / dynamic-preprocessors / dcerpc2 / snort_dce2.c, src / dynamic-preprocessors / dcerpc2 / snort_dce2.h, src / dynamic-preprocessors / dcerpc2 / spp_dce2.c, src / dynamic-preprocessors / dcerpc2 / spp_dce2.h, src / dynamic-preprocessors / dcerpc2 / includes / smb.h, src / dyn amic-preprocessors / ftptelnet / snort_ftptelnet.c, src / dynamic-preprocessors / imap / snort_imap.c, src / dynamic-preprocessors / pop / snort_pop.c, src / dynamic-preprocessors / smtp / snort_smtp.c, src / file- process / file_api.h, src / file-process / file_mime_process.c, src / file-process / file_service.

  c, src / file-process / libs / file_identifier.c, src / file-process / libs / file_identifier.h, src / file-process / libs / file_lib.c, src / file-process / libs / file_lib .h, src / preprocessors / snort_httpinspect.c, src / preprocessors / Stream5 / snort_stream5_tcp.c: Додати підтримку файлів SMB

Що нового у версії 2.9.5.6:

• src/preprocessors/Stream5/snort_stream5_tcp.c: додайте контрол NULL для препроцесорів, які перевіряють PAF, перш ніж перевіряти будь-який фактичний сеанс TCP
• src / detection-plugins /: sp_byte_check.c, sp_byte_jump.c, sp_isdataat.c, sp_pattern_match.c: Перевірте, чи відстань та / або зсув байтів знаходиться в межах пошукового буфера. Дякуємо Натан Фаулер за те, що він зазначив це питання.
• src / preprocessors / HttpInspect / client / hi_client.c: очистити буфер для нормалізації файлу cookie, щоб уникнути випадкового нульового відміни в конвеєрному запиті. Дякую Майкла Галапчука за повідомлення про проблему.

Що нового у версії 2.9.5.5:

• Поліпшення:
• Виправлення адреси з препроцесором SMTP та конфігурацією ignore_tls_data для правильної зупинки інспекції після зашифрованого сеансу SMTP.
• Відключити оцінку правил (на відміну від правил із швидкими шаблонами) для пакетів на попередньо заблокованому сеансі.
• Виправлено, коли перфектний препроцесор записує статистику, як тільки будуть виконані як критерії часу, так і кількості підрахунків пакетів.
• Застосовуйте ті ж обмеження щодо відносних PCRE для буферів HTTP з правил спільної бібліотеки, які вже існували за допомогою текстових правил.

Що нового у версії 2.9.5.3:

• Удосконалення:
• Покращення продуктивності для усунення непотрібної роботи, зменшення розмірів структур даних та очищення обробки для нормалізованих буферів HTTP.
• Закрийте кількість очікуваних з'єднань (наприклад, канал даних FTP) для запобігання зростання пам'яті
• Виправлення адреси при завантаженні таблиць репутації при додаванні додаткових адрес
• Питання адреси з можливим зависанням під час вимкнення потоку обробки перезавантаження конфігурації контрольного сокета.

Що нового у версії 2.9.4.6:

• Покращена підтримка версій DAQ у білому і чорному списку для інкапсульованого трафіку 6in4 та 4in6 (подібно до Teredo & GTP). Див. Посібник Snort для деталей налаштування.
• Уникайте зміни довжини параметрів IP в frag3 при отриманні дубльованих фрагментів 0-зсуву з параметрами IP.

Що нового у версії 2.9.4.5:

• Видалено інформацію проксі-сервера з нормалізованого HTTP Uri, щоб увімкнути правильне відповідність шаблонів.
• Оновити, щоб зареєструвати пакети до unified2 у всіх сповіщеннях про повторно зібрані пакети потоку.