Snort

Descargado por millones de personas en todo el mundo y con más de medio millón de usuarios registrados, Snort es una aplicación de código abierto y de línea de comandos gratuita que se puede utilizar con éxito para prevenir, detectar y proteger la intrusión de red. en cualquier sistema operativo GNU / Linux, capaz de registrar paquetes y analizar el tráfico en tiempo real.

El proyecto se puede configurar en cuatro modos: modo Sniffer, modo Logger de paquetes, modo Sistema de detección de intrusos de red (NIDS), así como el modo Inline. Además, Snort viene con reglas predefinidas que se pueden descargar desde el sitio web del proyecto, creado por la comunidad o por los desarrolladores de Snort.

A pesar de que se ejecuta desde la línea de comandos, Snort no es muy difícil de usar, pero hay muchas opciones para que juegues. Combina con éxito los beneficios de la inspección, la firma y el protocolo basados ​​en anomalías, lo que la convierte en la tecnología IPS (Sistema de prevención de intrusiones) y IDS (Sistema de detección de intrusiones) más ampliamente implementada.

Sistemas operativos compatibles y disponibilidad

Como está disponible para su descarga como un archivo de fuentes universales, Snort es oficialmente compatible con numerosas distribuciones de GNU / Linux, pero oficialmente admite, con paquetes binarios, los sistemas operativos Fedora, CentOS, FreeBSD y Microsoft Windows. Ambas arquitecturas de 32 bits y 64 bits son compatibles en este momento.

Snort puede instalarse fácilmente en numerosos sabores de GNU / Linux, ya que está disponible para su descarga desde los repositorios de software predeterminados de los populares sistemas operativos kernel de Linux. La documentación de Gettings started se puede encontrar en la página del proyecto, que cubre una gran cantidad de preguntas relacionadas con la configuración de Snort en los sistemas operativos Debian, openSUSE, Fedora, CentOS, FreeBSD y NetBSD.

Qué hay de nuevo en esta versión:

• Mejora de la estabilidad para el preprocesador Stream6
• Se corrigieron varios problemas en el preprocesador HttpInspect
• Se ha solucionado un problema de enmascaramiento incorrecto de datos confidenciales

Qué hay de nuevo en la versión 2.9.9.0:

• Mejora de estabilidad para el preprocesador Stream6
• Se corrigieron varios problemas en el preprocesador HttpInspect
• Se ha solucionado un problema de enmascaramiento incorrecto de datos confidenciales

Qué hay de nuevo en la versión 2.9.8.3:

• Mejora de la estabilidad del preprocesador Stream6
• Se corrigieron varios problemas en el preprocesador HttpInspect
• Se ha solucionado un problema de enmascaramiento incorrecto de datos confidenciales

Qué hay de nuevo en la versión 2.9.8.2:

• Nuevas adiciones:
• Future-flow y DNS API expuestos al detector de lua.
• Compatibilidad con etiquetado de VLAN doble.
• Mejoras:
• Mejoras en el rendimiento de AppID.
• Mejoras de estabilidad en el archivo y el preprocesador ftp_telnet.
• Se corrigieron varios problemas con SDF y ofuscación.
• Resolvió un problema de manejo incorrecto del host DNS mal formado en AppID.
• HTTP PAF acepta todos los tokens entre el método y las cadenas de versión en un URI de solicitud.
• Se resolvió el problema de compilación snort con & quot; - disable-perfprofiling & quot; configure la opción.
• Análisis de mime mejorado al agregar soporte para detectar archivos después de encabezados desconocidos y sin encabezados.
• Se corrigió el problema con la descompresión de gzip. Si la respuesta del servidor especifica. Content-Encoding como GZIP, pero no el campo Content-Length para HTTP ver 1.0.
• Identificación del final del encabezado (EOH) para encabezado de respuesta HTTP que abarca varios paquetes.
• Reensamblaje de paquetes mejorado para HTTP.
• Problema de descompresión LZMA de Flash fijo.

Qué hay de nuevo en la versión 2.9.8.0:

• Nuevas adiciones:
• Compatibilidad con SMBv2 / SMBv3 para la inspección de archivos.
• Anulación de puerto para servicio de metadatos en reglas IPS.
• Perfilado del rendimiento del detector Lua de AppID.
• Perfmon vuelca las estadísticas a intervalos fijos desde el tiempo absoluto.
• Nueva alerta de preprocesador (120: 18) para detectar el túnel SSH a través de HTTP
• Nueva opción de configuración | disable_replace | para deshabilitar la opción reemplazar regla.
• Nueva configuración de flujo | log_asymmetric_traffic | para controlar el registro en syslog.
• Nueva secuencia de comandos de shell en herramientas para crear detectores Lua sencillos para AppID.
• Mejoras:
• sfip_t refactorizado para usar struct in6_addr para todas las direcciones IP.
• Devolución de llamada posterior a la detección para preprocesadores.
• Soporte de AppID para múltiples detectores de servidor / cliente que evalúan en el mismo flujo.
• API AppID para paquetes DNS.
• Optimizaciones de memoria en todas partes.
• Soporte para enviar respuestas activas de UDP.
• Corrige el seguimiento perfmon de los paquetes recortados.
• Mejoras de estabilidad para AppID.
• Mejoras de estabilidad para el preprocesador Stream6.
• Se agregó soporte mejorado para bloquear el malware en el preprocesador de FTP.
• Se agregó compatibilidad para diferenciar entre conexiones FTP activas y pasivas.
• Mejoras realizadas en el preprocesador Stream6 para evitar tener paquetes duplicados en la cola de reintentos del DAQ.
• Resolvió un problema donde la configuración de reputación mostraba incorrectamente 'lista negra' en el campo de prioridad a pesar de que se había configurado la opción 'whitelist'.
• Se agregó soporte para múltiples sesiones esperadas creadas por paquete
• La respuesta activa ahora admite MPLS

Qué hay de nuevo en la versión 2.9.7.5:

• Se agregó soporte mejorado al preprocesador Stream para TCP asíncrono tráfico.
• La respuesta activa ya no establece el indicador FIN en el último segmento enviado.

Qué hay de nuevo en la versión 2.9.7.3:

• Nuevas adiciones:
• Se agregó compatibilidad con PAF para el tráfico basado en SIP
• Mejoras:
• Resolvió un problema de retroceso en el que la opción de la regla 'protected_content' no coincidía en el contenido según una opción de regla de contenido que no coincide.
• Resolvió un problema por el que snort eliminó los niveles de privilegios antes de intentar eliminar su archivo PID creado durante el nivel de privilegios más alto
• Procesamiento mejorado del tráfico SSLv3, extensiones IPv6, reensamblaje de sesión HTTPS y normalización
• Mejoras de rendimiento para el preprocesador de archivos
• Mejoras de estabilidad para el preprocesador ftp_telnet

Qué hay de nuevo en la versión 2.9.7.2:

• src / build.h: actualizar el número de compilación a 177
• src / preprocessors / Stream6 / snort_stream_tcp.c: Documentación: Se corrigió el problema por el cual la normalización de recorte de TCP se producía cuando no era necesario.
• src / decode.c, src / encode.c: Se agregó soporte para decodificación / codificación Cisco FabricPath. Asegúrese de que flow_id se copie en DAQ_PktHdr_t.
• src / snort.h, src / sfutil / sfrt.c, src / sfutil / sfrt.h src / target-based / sftarget_reader.c: Conversión ntohl movida dentro de sfrt api para IPv4 e IPv6.
• src / target-based / sftarget_protocol_reference.c ID de protocolo de aplicación de búsqueda solo después de establecida la sesión. Asigne ID de protocolo de aplicación a la sesión cuando use la tabla de atributos del host.
• src / util.c: cambios para suprimir el registro de configuración.
• src / file-process / file_service.c: Asigne la configuración del archivo a un contexto de archivo antes de verificar si continúa HTTP.

Qué hay de nuevo en la versión 2.9.7.0:

• Nuevas adiciones:
• Se agregó la capacidad de especificar nombres de campo http personalizados 'x-forwarder-for'. Se utiliza un nuevo elemento de configuración de inspección http para especificar un conjunto de nombres de campo y su respectivo orden de precedencia.
• Tiempo de espera de flujo de caché agregado para IP.
• Mejoras:
• Manejo correcto del tráfico ICMPv6.
• Reensamblado de flujo en línea fijo durante el procesamiento del archivo.
• Problema de condición de carrera solucionado con la renovación del archivo de estadísticas de Perfmon.

Qué hay de nuevo en la versión 2.9.6.0:

• Nuevas adiciones Agregue compatibilidad para procesar archivos específicos dentro del preprocesador DCERPC para archivos que se transfieren a través de SMB.
• Captura y almacenamiento de archivos: guarda archivos a medida que atraviesan la red a través de un nuevo preprocesador que se vincula con HTTP, FTP, SMTP, POP, IMAP y SMB. Consulte README.file y README.file_server (en tools / file_server) para obtener más información.
• Agregar = operadores a la opción de regla byte_test.
• Actualice SMTP para detectar el ataque de autenticación Cyrus SASL.
• Agregue capacidad para capturar una sola sesión de principio a fin.
• EXPERIMENTAL: agregue soporte para aprovechar la identificación del tipo de archivo en las reglas de snort. Vea README.file_ips para más detalles.
• MejorasSolo inyecte respuestas activas cuando se establece una sesión TCP.
• Actualice los protocolos POP e IMAP para admitir PAF simple para una mejor identificación y captura de archivos.
• Actualice SMTP, POP, IMAP para mejorar la inspección cuando los límites de mime se dividen en paquetes.
• Problema de dirección para abordar el final de la línea incorrectamente para archivos adjuntos de correo electrónico imprimibles entre comillas.
• Gestionar el protocolo de enlace SSL en SMTP cuando se utiliza STARTTLS y corregir los controles para el tipo de SSL solo dentro del movimiento de manos SSL.
• Actualice el preprocesador de datos confidenciales para gestionar una búsqueda con estado de patrones en varios paquetes.
• Soluciona algunos problemas en el manual de Snort y en otros archivos README para flujos de aire y tunelización.
• Guarda los datos del paquete para una depuración más rápida en caso de un SIGABRT o SIGBUS.
• Arregla la alineación del nodo sfxhash para las plataformas SPARC.

Qué hay de nuevo en la versión 2.9.6.0 RC:

• Hemos mejorado algunas cosas menores , pero realmente estamos buscando más pruebas en el motor y comentarios sobre las capacidades que hemos incorporado en él.

Qué hay de nuevo en la versión 2.9.6.0 Beta:

• src / detection-plugins / sp_icmp_code_check.c: Permitir un valor negativo en el ICMP icode xy range check. Esto permite que la regla incluya un cheque por cero
• src / preprocessors / Stream5 / snort_stream5_tcp.c: desactiva la detección cuando la conexión TCP ya estaba cerrada.
• src /: preprocesadores dinámicos / ftptelnet / ftpp_si.h, preprocesadores dinámicos / ftptelnet / pp_ftp.c, preprocesadores dinámicos / ftptelnet / snort_ftptelnet.c, file-process / file_api.h: reparación del procesamiento de archivos FTP-Data .
• src / snort_bounds.h: evitar la aserción para la copia de memoria de tamaño cero
• src /: dynamic-plugins / sf_dynamic_plugins.c, detection-plugins / sp_react.c: solo inyecta la página de respuestas cuando se establece la sesión.
• src / preprocesadores dinámicos / smtp / smtp_log.h, src / preprocesadores dinámicos / smtp / snort_smtp.c, src / preprocesadores dinámicos / smtp / snort_smtp.h, preproc_rules / preprocessor.rules, etc / gen-msg .map: agregue una nueva alerta de preprocesador para detectar el ataque de autenticación Cyrus SASL.
• src / dynamic-preprocessors / ssh / spp_ssh.c: Set_reassembly para ABSOLUCION solo si el tráfico es SSH. Tramitar de forma concreta ssh version / ssh key exchange init / intercambio de claves y / o datos cifrados dentro de un único paquete reensamblado. Gracias a Florian Westphal por informar esto.
• src / file-process / file_mime_process.c: para IMAP, el MIME y el mensaje estarán dentro del cuerpo de búsqueda, que terminará en & quot;) & quot;.
• src /: preprocesadores dinámicos / dns / spp_dns.c, preprocesadores dinámicos / ssh / spp_ssh.c, cambiar la política de reensamblaje del preprocesador; Se modificó la transición de estado del preprocesador SSH en función del directorio en lugar de ambos.
• src /: preprocessors / Stream5 / snort_stream5_tcp.c: Ignore la brecha al activar el reensamblaje dinámicamente en el primer paquete de la sesión.
• src / preprocesadores dinámicos / dnp3 / spp_dnp3.c: corrige las advertencias de mempool incorrectas. Gracias a Bram por informar esto
• doc / snort_manual.pdf, doc / snort_manual.tex, configure.in, src / snort.c, src / util.c: recorte la memoria liberada antes y después de la recarga de la configuración.
• src /: preprocesadores dinámicos / imap / snort_imap.c, preprocesadores dinámicos / pop / snort_pop.c, preprocesadores dinámicos / smtp / snort_smtp.c, file-process / file_mime_process.c, sfutil / sf_email_attach_decode.c: Permitir la decodificación de 7 bits de archivos adjuntos binarios.
• src / preprocesadores dinámicos / sdf /: spp_sdf.c, spp_sdf.h: evitar la coincidencia parcial del árbol de reglas durante la recarga.
• src / tag.c: corrige el error de comprobación de límites para que el límite del paquete etiquetado global no permita una etiqueta adicional.
• src /: file-process / file_mime_process.h, file-process / file_api.h, file-process / file_mime_process.c, file-process / file_service.c, dynamic-preprocessors / imap / snort_imap.c, dynamic- preprocessors / imap / spp_imap.c, preprocesadores dinámicos / smtp / snort_smtp.c, preprocesadores dinámicos / pop / snort_pop.c, preprocesadores dinámicos / pop / spp_pop.c: agregue soporte de PAF simple para POP e IMAP.
• src /: util.c, util.h, sfutil / sf_ip.c, sfutil / sf_ip.h: Errores Agregar sfip_convert_ip_text_to_binary () para imponer la sintaxis de IPv4 independiente de la plataforma. Asegúrese de que xatou (), xatol () y xatoup () devuelvan valores dentro del rango especificado
• doc / snort_manual.tex: actualice el documento para incluir los operadores '=' en el comando byte_test
• src / preprocessors / Stream5 / snort_stream5_tcp.c: asegúrese de que el evento INTERNAL_EVENT_SESSION_ADD solo se encuentre en el estado ESTABLISHED.
• src / sfutil / sf_email_attach_decode.c: compruebe que la cadena de codificación QP sea válida para evitar la descodificación de fin de línea de forma incorrecta.
• src / preprocesadores dinámicos / ftptelnet / snort_ftptelnet.c: ajustar la salida de configuración para que corresponda a la entrada de configuración. Gracias a Reinoud Koornstra por la sugerencia.
• src / preprocessors / Stream5 /: snort_stream5_icmp.c, snort_stream5_ip.c, snort_stream5_tcp.c, snort_stream5_udp.c: preprocesadores dinámicos / pop / snort_pop.c, preprocesadores dinámicos / smtp / snort_smtp.c, preprocesadores dinámicos / ssl / spp_ssl.c, encode.c, preprocesadores dinámicos / dcerpc2 / dce2_cl.c, preprocesadores dinámicos / dcerpc2 / dce2_session.h, preprocesadores dinámicos / dcerpc2 / snort_dce2.c, preprocesadores dinámicos / dns / spp_dns.c, preprocesadores dinámicos / imap / snort_imap.c: preprocesadores / spp_rpc_decode.c, preprocessors / spp_stream5.c, preprocessors / stream_api.h, preprocessors / stream_expect.c: gestión del protocolo de enlace SSL en SMTP. Gracias a Bram por informar esto.
• src / preprocessors / perf-base.c: actualice el encabezado impreso en la parte superior del archivo now.
• src / preprocessors / perf-base.c: cambie el nombre de la estadística de Paquetes bloqueados a Veredictos en bloque.
• src / preprocessors / Stream5 / snort_stream5_session.c: agote el tiempo de espera de una sesión en lugar de esperar el tiempo de espera nominal de la sesión.
• configure.in, src / plugbase.c, src / rule_option_types.h, src / snort.c, src / detection-plugins / Makefile.am, src / detection-plugins /: sp_file_type.c, sp_file_type.h, src / detection-plugins / detection_options.c, src / dynamic-preprocessors / Makefile.am, src / file-process / Makefile.am, src / file-process / file_api.h, src / file-process / file_service.c, src / file-process / file_service_config.c, src / file-process / file_service_config.h, src / file-process / libs / Makefile.am, src / file-process / libs / file_config.c, src / file-process / libs / file_config.h, src / file-process / libs / file_lib.c, src / file-process / libs / file_lib.h, src / preprocessors / spp_stream5.c, tools / Makefile.am, doc /: README.file , README.file_ips, Makefile.am: palabras clave de inspección de archivos para reglas de IPS.
• src / preprocesadores dinámicos / sdf /: sdf_pattern_match.c, sdf_pattern_match.h, spp_sdf.c, spp_sdf.h: añada una coincidencia de patrones con estado de los patrones sdf en los paquetes.
• mkinstalldirs, doc / snort_manual.tex, src / detect.c, src / detection_util.h, src / fpdetect.c, src / parser.c, src / tag.c, src / tag.h, src / target -based / sf_attribute_table.y, tools / u2spewfoo / u2spewfoo.c: Admite captura de sesión única mediante la opción de regla de etiqueta. Registre todos los paquetes en el mismo lugar que la alerta original. Habilite el etiquetado en las reglas de aprobación.
• src /: dynamic-preprocessors / imap / snort_imap.c, dynamic-preprocessors / imap / snort_imap.h, dynamic-preprocessors / pop / snort_pop.c, dynamic-preprocessors / pop / snort_pop.h, dynamic-preprocessors / smtp / snort_smtp.c, preprocesadores dinámicos / smtp / snort_smtp.h, file-process / file_api.h, file-process / file_mime_process.c, preprocessors / str_search.c, preprocessors / str_search.h, sfutil / bnfa_search.c: Agregue la búsqueda de límite de mime Stateful cuando se divide entre paquetes.
• src / preprocessors / HttpInspect / client / hi_client.c: cambie la búsqueda uri para comenzar desde el final del método en lugar del inicio de la carga útil.
• configure.in, doc / README.file, doc / snort_manual.pdf, src / parser.c, src / preprocids.h, src / snort.c, src / util.c, src / detection-plugins / .cvsignore, src /dynamic-examples/Makefile.am, src / dynamic-plugins / sf_engine / .cvsignore, src / dynamic-preprocessors / Makefile.am, src / dynamic-preprocessors / file / Makefile.am, src / dynamic-preprocessors / file / file_agent.c, src / preprocesadores dinámicos / file / file_agent.h, src / preprocesadores dinámicos / file / file_event_log.c, src / preprocesadores dinámicos / file / file_event_log.h, src / dynamic-preprocessors / file / file_inspect_config. c, src / preprocesadores dinámicos / file / file_inspect_config.h, src / preprocesadores dinámicos / file / file_sha.c, src / preprocesadores dinámicos / file / file_sha.h, src / preprocesadores dinámicos / file / sf_file.dsp, src / preprocesadores dinámicos / archivo / spp_file.c, src / preprocesadores dinámicos / file / spp_file.h, src / preprocesadores dinámicos / sf_dynamic_initialize / sf_dynamic_initialize.dsp, src / file-process / Makefile.am, src / file- process / circular_buffer.c, src / file-process / circular_buffer.h, src / file -process / file_api.h, src / file-process / file_capture.c, src / file-process / file_capture.h, src / file-process / file_mempool.c, src / file-process / file_mempool.h, src / file -process / file_resume_block.c, src / file-process / file_service.c, src / file-process / file_service.h, src / file-process / file_service_config.c, src / file-process / file_service_config.h, src / file-process / file_stats.c, src / file-process / file_stats.h, src / file-process / libs / file_config.c, src / file-process / libs / file_config.h, src / file-process / libs / file_identifier.c, src / file-process / libs / file_identifier.h, src / file-process / libs / file_lib. c, src / file-process / libs / file_lib.h, src / file-process / libs / file_sha256.h, tools / Makefile.am, tools / file_server / Makefile.am, tools / file_server / README.file_server, tools / servidor_de_archivo / servidor_de_archivo.c: agrega la función de captura de archivos e introduce el preprocesador de inspección de archivos
• src / preprocessors / Stream5 / snort_stream5_tcp.c: error de análisis si faltan especificadores de dirección. Gracias a Bram Fabeg por el informe.
• src / ipv6_port.h: elimine la macro duplicada para GET_ORIG_IPH_PROTO.
• doc /: README.decode, README.gre, README.mpls, snort_manual.pdf, snort_manual.tex: manual de actualización y otros documentos relacionados con la tunelización. Gracias a Jason Poley por notarlo.
• src / parser.c: omite silenciosamente metadatos de servicio duplicados.
• src /: log.c, mempool.c, parser.c, snort.c, util.c, detection-plugins / sp_ip_tos_check.c, detection-plugins / sp_pattern_match.c, detection-plugins / sp_replace.c, detección-plugins / sp_session.c, detection-plugins / sp_tcp_win_check.c, dynamic-preprocessors / dns / spp_dns.c, dynamic-preprocessors / ftptelnet / pp_ftp.c, dynamic-preprocessors / ftptelnet / snort_ftptelnet.c, dynamic-preprocessors / sdf / sdf_pattern_match.c, output-plugins / spo_log_ascii.c, output-plugins / spo_log_tcpdump.c, preprocessors / HttpInspect / utils / hi_paf.c, preprocessors / Stream5 / snort_stream5_tcp.c: Reemplace las llamadas bzero e index obsoletas. Créditos a Bill Parker
• src / preprocesadores dinámicos /: smtp / snort_smtp.c, ssl / spp_ssl.c, libs / ssl.c, libs / ssl.h: busca el tipo de SSL solo cuando el protocolo de enlace SSL no está completo. No verifique el tipo de datos SSL. Gracias a Bram Fabeg por informar esto.
• src / preprocessors /: HttpInspect / server / hi_server.c, HttpInspect / server / hi_server_norm.c, Stream5 / snort_stream5_tcp.c: solo comprueba el conjunto de caracteres una vez por cuerpo de respuesta; Establecer solo el juego de caracteres una vez por juego de caracteres =
• src / profiler.c: Soluciona el problema al leer pcaps desde la línea de comandos y al usar varias políticas y --pcap-reset.
• src / detection-plugins / detection_options.c: no cuenta el tiempo de perfomance de RTN en el tiempo de perfomance de OTN. Créditos a Reinoud por informar esto.
• doc / README.flowbits: corrige errores tipográficos en los bits de flujo isnotset examples
• src / snort.c, src / snort.h, src / util.c, snort.8, doc / snort_manual.pdf, doc / snort_manual.tex: agregue un modificador de línea de comando --no-interface-pidfile para resoplar.
• src / preprocessors /: spp_stream5.c, Stream5 / stream5_common.h: Estadísticas de salida actualizadas de Stream para usar 'filtrado' en lugar de descartado.
• src /: detection_util.h, preprocesadores dinámicos / sip / spp_sip.c: no configure sip / http buffers en null
• src / dynamic-plugins / sf_engine / sf_snort_plugin_api.c: no coincidencia de devolución si el búfer http solicitado no se configuró
• src / snort.c: errores corregidos: capturar datos de paquetes para sigabrt y sigbus
• doc / README.dcerpc2, doc / snort_manual.pdf, doc / snort_manual.tex, etc / gen-msg.map, preproc_rules / preprocessor.rules, src / active.c, src / active.h, src / encode.c, src / encode.h, src / generators.h, src / dynamic-plugins / sf_dynamic_plugins.c, src / dynamic-plugins / sf_dynamic_preprocessor.h, src / dynamic-preprocessors / dcerpc2 / dce2_co.c, src / dynamic-preprocessors / dcerpc2 / dce2_config.c, src / preprocesadores dinámicos / dcerpc2 / dce2_config.h, src / preprocesadores dinámicos / dcerpc2 / dce2_event.c, src / preprocesadores dinámicos / dcerpc2 / dce2_event.h, src / preprocesadores dinámicos / dcerpc2 / dce2_memory.c, src / preprocesadores dinámicos / dcerpc2 / dce2_memory.h, src / preprocesadores dinámicos / dcerpc2 / dce2_smb.c, src / preprocesadores dinámicos / dcerpc2 / dce2_smb.h, src / preprocesadores dinámicos / dcerpc2 / dce2_stats. h, src / preprocesadores dinámicos / dcerpc2 / snort_dce2.c, src / preprocesadores dinámicos / dcerpc2 / snort_dce2.h, src / preprocesadores dinámicos / dcerpc2 / spp_dce2.c, src / preprocesadores dinámicos / dcerpc2 / spp_dce2.h, src / dynamic-preprocessors / dcerpc2 / includes / smb.h, src / dyn preprocesadores amic / ftptelnet / snort_ftptelnet.c, src / preprocesadores dinámicos / imap / snort_imap.c, src / preprocesadores dinámicos / pop / snort_pop.c, src / preprocesadores dinámicos / smtp / snort_smtp.c, src / file- process / file_api.h, src / file-process / file_mime_process.c, src / file-process / file_service.

  c, src / file-process / libs / file_identifier.c, src / file-process / libs / file_identifier.h, src / file-process / libs / file_lib.c, src / file-process / libs / file_lib .h, src / preprocessors / snort_httpinspect.c, src / preprocessors / Stream5 / snort_stream5_tcp.c: agregue compatibilidad de archivos SMB

Qué hay de nuevo en la versión 2.9.5.6:

• src/preprocessors/Stream5/snort_stream5_tcp.c: agregue la comprobación NULL para los preprocesadores que verifican el PAF antes de comprobar si hay alguna sesión de tcp real
• src / detection-plugins /: sp_byte_check.c, sp_byte_jump.c, sp_isdataat.c, sp_pattern_match.c: prueba si la distancia y / o desplazamiento extraídos del byte está dentro de los límites del búfer de búsqueda. Gracias a Nathan Fowler por notar el problema.
• src / preprocessors / HttpInspect / client / hi_client.c: borre el búfer de normalización de cookies para evitar la desreferencia nula accidental en la solicitud segmentada. Gracias a Michael Galapchuk por informar el problema.

Qué hay de nuevo en la versión 2.9.5.5:

• Mejoras:
• Problema de dirección con el preprocesador SMTP y la configuración ignore_tls_data para detener correctamente la inspección después de cifrar una sesión SMTP.
• Inhabilita toda evaluación de reglas (en lugar de solo reglas con patrones rápidos) para paquetes en una sesión previamente bloqueada.
• Se corrigió cuando el preprocesador de perfmon escribe las estadísticas para que ocurran tan pronto como se cumplan los criterios de tiempo y conteo de paquetes.
• Imponer las mismas restricciones en PCRE relativa para los búferes HTTP de las reglas de biblioteca compartida que ya existían con las reglas de texto.

Qué hay de nuevo en la versión 2.9.5.3:

• Mejoras:
• Mejoras en el rendimiento para eliminar algunos trabajos innecesarios, la reducción de tamaños de las estructuras de datos y la limpieza del procesamiento de los búferes HTTP normalizados.
• Limita el número de conexiones esperadas (por ejemplo, el canal de datos FTP) para evitar el crecimiento de la memoria
• Problema de dirección con la recarga de tablas de búsqueda de reputación cuando se agregan más direcciones.
• Problema de dirección con posible bloqueo durante el cierre de la hebra de proceso de reconfiguración del socket del control.

Qué hay de nuevo en la versión 2.9.4.6:

• Se mejoró el soporte para los veredictos DAQ de la lista blanca y la lista negra para el tráfico encapsulado 6in4 y 4in6 (similar a Teredo y GTP). Consulte el manual de Snort para obtener detalles sobre la configuración.
• Evite cambiar la longitud de las opciones de IP en frag3 cuando reciba fragmentos duplicados de 0-offset que tengan opciones de IP.

¿Qué hay de nuevo? en la versión 2.9.4.5:

• Información del proxy eliminada del HTTP Uri normalizado para habilitarla correctamente coincidencia de patrones.
• Actualice para registrar paquetes en unificado2 en todas las alertas en paquetes reensamblados en secuencia.