Giới thiệu về Snort 2.9.16

Snort 2.9.16 là một giải pháp mạnh mẽ, được thiết kế để phát hiện xâm nhập mạng và bảo vệ hệ thống một cách hiệu quả, đồng thời tối ưu hóa việc sử dụng tài nguyên. Công cụ này không chỉ đóng vai trò là hệ thống phát hiện xâm nhập mà còn có thể được triển khai như một công cụ giám sát lưu lượng mạng (sniffer) và ghi nhật ký hệ thống.

Khả năng hoạt động của Snort

Phần mềm bảo mật mạng Snort hoạt động dựa trên sự kết hợp giữa thông tin từ cơ sở dữ liệu và các kỹ thuật quét lưu lượng. Điều này cho phép nó xác định các hoạt động xâm nhập trái phép một cách chính xác. Khi phát hiện bất kỳ dấu hiệu bất thường nào, hệ thống sẽ ngay lập tức đưa ra các báo cáo phân tích chi tiết và cảnh báo.

Việc triển khai và vận hành Snort đòi hỏi người dùng phải có kiến thức về lập trình, các giao thức mạng và hệ thống IDS. Do đó, những người mới bắt đầu có thể cần thời gian để làm quen với cách thức hoạt động của phần mềm.

Tính năng giám sát và lưu trữ dữ liệu

Sau khi nắm vững, bạn có thể tận dụng công cụ này để theo dõi lưu lượng mạng, hiển thị các tiêu đề gói tin TCP/IP và lưu trữ chúng vào các thư mục nhật ký hoặc cơ sở dữ liệu. Snort hỗ trợ nhiều loại cơ sở dữ liệu phổ biến như MySQL, Oracle, Microsoft SQL Server và ODBC.

Tuy nhiên, chức năng chính của phần mềm vẫn là khả năng phát hiện xâm nhập hệ thống. Snort liên tục phân tích lưu lượng mạng, tìm kiếm các sự kiện bất thường và gửi thông báo đến hệ thống để có biện pháp xử lý kịp thời.

Tùy chỉnh và cấu hình Snort

Các quy tắc tùy chỉnh của người dùng trong Snort tương tự như các quy tắc được sử dụng trong tường lửa. Bạn có thể điều chỉnh hành vi của Snort khi hoạt động ở chế độ IDS bằng cách chỉnh sửa các tệp cấu hình, trong đó chứa các quy tắc riêng biệt cho các kết nối mạng khác nhau (ví dụ: SMTP, SSH,...).

Chương trình này thực hiện phân tích sâu các gói dữ liệu gửi và nhận để xác định xem chúng có chứa bất kỳ dấu hiệu đe dọa nào hay không. Các gói dữ liệu bất thường sẽ kích hoạt các quy tắc đã được định nghĩa trước và được ghi lại ở định dạng ASCII hoặc binary.

Yêu cầu hệ thống

Winpcap 4.1.1

Cập nhật trong phiên bản Snort mới

Snort 2.9.16.0

Những bổ sung mới
- Đã tích hợp khả năng kiểm tra tải trọng HTTP ban đầu khi thực hiện xả dữ liệu ở chế độ pre-ack. Tính năng này có thể được kích hoạt thông qua việc sử dụng fast-blocking trong cấu hình đánh giá HTTP.
- Hỗ trợ 64-bit đã được thêm vào cho hệ điều hành Windows 10.
- Phiên bản glibc 2.30 hiện đã được hỗ trợ.
Nâng cấp và khắc phục lỗi
- Đã sửa lỗi liên quan đến chính sách file không hoạt động khi có tiền tố ký tự ở kích thước chunk.
- Cơ sở dữ liệu file thần tốc đã được cập nhật để nhận diện các loại file ALZ.
- Khắc phục lỗi xảy ra khi nhận được gói FIN bị hỏng bằng cách loại bỏ chúng.
- Chuẩn hóa việc tạo số ngẫu nhiên cho các mã hóa null xen kẽ trong phản hồi từ các máy chủ HTTP sử dụng UTF-8.

Snort 2.9.15.1

Đã bổ sung khả năng xử lý đặc biệt các file trong giai đoạn tiền xử lý DCERPC, áp dụng cho các file được truyền qua giao thức SMB.
Thu thập và lưu trữ file – cho phép lưu lại các file ngay khi dữ liệu di chuyển qua mạng, thông qua một quy trình tiền xử lý hỗ trợ các giao thức HTTP, FTP, SMTP, POP, IMAP và SMB.
Thêm tùy chọn sử dụng toán tử = trong các quy tắc byte_test.
Cập nhật giao thức SMTP để phát hiện các cuộc tấn công sử dụng xác thực của Cyrus SASL.
Tích hợp chức năng quay lại toàn bộ một phiên làm việc.