Suricata

Công cụ IDS / IPS của Suricata là đa luồng và có hỗ trợ IPv6 nguyên gốc. Nó có khả năng tải các quy tắc và chữ ký Snort hiện có và hỗ trợ các công cụ Barnyard và Barnyard2.

Bạn nên thử Suricata vì có khả năng mở rộng cao, nó nhận ra các giao thức phổ biến nhất và có thể nhận dạng hàng nghìn loại tệp, kiểm tra MD5 checksum và trích xuất tệp từ lưu trữ.

Suricata là một ứng dụng đa nền tảng có thể được sử dụng thành công trên các hệ điều hành GNU / Linux, BSD (FreeBSD và OpenBSD), hệ điều hành Microsoft Windows và Mac OS X.

Phần mềm chỉ được phân phối dưới dạng kho lưu trữ nguồn, phần mềm này phải được định cấu hình và biên dịch trước khi cài đặt. Tuy nhiên, bạn có thể dễ dàng cài đặt nó từ kho phần mềm mặc định của bản phân phối Linux của bạn. Cả hai nền tảng phần cứng 32 bit và 64 bit đều được hỗ trợ.

Phần mềm IDS và IPS tốt nhất dựa trên công nghệ nguồn mở

Suricata không còn nghi ngờ gì nữa là phần mềm IDS (Hệ thống Phát hiện xâm nhập) và IPS (Hệ thống Ngăn chặn xâm nhập) tốt nhất từng được xây dựng, chỉ được hỗ trợ bởi các công nghệ nguồn mở.

Tính năng mới trong bản phát hành này:

• Bảo mật:
• CVE-2018-10242, CVE-2018-10244 (suricata)
• CVE-2018-10243 (libhtp)
• Thay đổi:
• Lỗi # 2480: nguồn dữ liệu nhật ký http eve / dest flip (4.0.x)
• Lỗi # 2482: Kết nối HTTP: chênh lệch tỷ lệ phát hiện trong khoảng từ 3.1 đến 4.0.x
• Lỗi # 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
• Lỗi # 2532: memleak: khi sử dụng quy tắc sự kiện lớp ứng dụng mà không bị rỉ sét
• Lỗi # 2533: Bỏ qua trình bỏ gói unicata gzip (4.0.x)
• Lỗi # 2534: Suricata ngừng kiểm tra luồng TCP nếu gặp RST TCP (4.0.x)
• Lỗi # 2535: Thư có cấp SC_LOG_CONFIG được ghi vào nhật ký hệ thống với ưu tiên EMERG (4.0.x)
• Lỗi # 2537: libhtp 0.5.27 (4.0.x)
• Lỗi # 2540: getrandom ngăn chặn bất kỳ lệnh khởi chạy dữ liệu nào sau này trên hệ điều hành (4.0.x) sau này của
• Lỗi # 2544: ssh ngoài giới hạn đọc (4.0.x)
• Lỗi # 2545: enip ngoài giới hạn đọc (4.0.x)

Tính năng mới trong phiên bản 4.0.4:

• Bảo mật:
• CVE-2018-6794 được yêu cầu cấp số phát hành # 2440
• Thay đổi:
• Lỗi # 2306: suricata 4 deadlocks trong quá trình đăng nhập lại không thành công
• Lỗi # 2361: quá trình tải lại quy tắc
• Lỗi # 2389: BUG_ON xác nhận trong AppLayerIncFlowCounter (4.0.x)
• Lỗi # 2392: libhtp 0.5.26 (4.0.x)
• Lỗi # 2422: [4.0.3] af_packet: rò rỉ (có thể) phá vỡ kênh nội tuyến
• Lỗi # 2438: các vấn đề phân tích cú pháp cấu hình khác nhau
• Lỗi # 2439: Khắc phục dấu thời gian ngoại tuyến khi dấu thời gian pcap bằng không (4.0.x)
• Lỗi # 2440: sự cố bỏ qua luồng động cơ (4.0.x)
• Lỗi # 2441: der parser: đầu vào kém tiêu thụ CPU và bộ nhớ (4.0.x)
• Lỗi # 2443: Lỗi tràn bộ nhớ đệm DNP3 (4.0.x)
• Lỗi # 2444: rust / dns: Dump chính có lưu lượng truy cập không đúng định dạng (4.0.x)
• Lỗi # 2445: http bodies / file_data: tạo không gian luồng viết ra ngoài giới hạn

Tính năng mới trong phiên bản:

• Tính năng # 2245: bộ giải mã cho lưu lượng truy cập ieee802.1AH
• Lỗi # 798: stats.log trong cấu hình yaml - tùy chọn nối thêm - thiếu
• Lỗi # 891: detect-engine.profile không bị lỗi trong các giá trị không chính xác - suricata.yaml
• Lỗi # 961: phân tích cú pháp biến các gói đang chờ xử lý tối đa
• Lỗi # 1185: napatech: cảnh báo cppcheck
• Lỗi # 2215: Sự kiện bị mất ghi vào ổ cắm unix
• Lỗi # 2230: memcheck valgrind - 4.0.0-dev (rev 1180687)
• Lỗi # 2250: phát hiện: trộn byte_extract và isdataat dẫn đến FP & FN
• Lỗi # 2263: nội dung phù hợp bị bỏ qua khi sử dụng dns_query trên lưu lượng truy cập udp
• Lỗi # 2274: ParseSizeString trong util-misc.c: Dereference pointer dullference
• Lỗi # 2275: ConfGetInt trong conf.c: NULL dereference pointer
• Lỗi # 2276: conf: dereference NULL-pointer trong CoredumpLoadConfig
• Lỗi # 2293: quy tắc: độ sâu & lt; các quy tắc nội dung không bị từ chối
• Lỗi # 2324: segfault trong http_start (4.0.x)
• Lỗi # 2325: Suricata segfaults trên ICMP và kiểm tra flowint (4.0.x)

Tính năng mới trong phiên bản 4.0.1:

• Phát hiện được Cải thiện:
• Dựa trên phản hồi có giá trị từ nhóm viết quy tắc tại các mối đe dọa mới nổi và công nghệ tích cực, chúng tôi đã thêm và cải thiện nhiều từ khóa quy tắc để kiểm tra HTTP, SSH và các giao thức khác. Các bổ sung TLS được đóng góp bởi Mats Klepsland tại NorCERT, bao gồm giải mã, ghi nhật ký và kết hợp trên các số sê-ri TLS. Ngoài ra, Suricata bây giờ cho phép các nhà văn quy tắc xác định ai là mục tiêu trong một chữ ký. Thông tin này được sử dụng trong ghi nhật ký JSON EVE để cung cấp thêm ngữ cảnh với cảnh báo.
• TLS được cải thiện, đã thêm NFS:
• Thông tin thêm về phía TLS: Một tính năng mới quan trọng là hỗ trợ STARTTLS trong SMTP và FTP. Các phiên TLS giờ đây sẽ được ghi lại trong các trường hợp này. Tốt hơn từ Mats Klepsland. Ngoài ra, việc ghi nhật ký nối lại phiên TLS hiện được hỗ trợ nhờ công việc của Ray Ruvinskiy. Các cải tiến khai thác gỗ TLS bổ sung được thực hiện bởi Paulo Pacheco.
• Giải mã NFS, ghi nhật ký và trích xuất tệp đã được thêm vào như một phần của hỗ trợ Rust thử nghiệm. Đọc để biết thêm thông tin về Rust.
• Thêm EVE JSON:
• EVE được mở rộng theo nhiều cách ...
• trong trường hợp lưu lượng đóng gói cả địa chỉ IP và cổng bên trong và bên ngoài được ghi lại
• cơ sở ‘vars’ ghi nhật ký lưu lượng và các loại vars khác. Điều này cũng có thể được sử dụng để ghi lại dữ liệu được trích xuất từ ​​lưu lượng truy cập bằng cách sử dụng câu lệnh PCRE trong quy tắc
• EVE hiện có thể được xoay dựa trên thời gian
• EVE đã được mở rộng để tùy chọn ghi lại yêu cầu HTTP và / hoặc các cơ quan phản hồi
• bản ghi luồng (một phần) được thêm vào các bản ghi cảnh báo.
• Cơ sở ‘vars’ là một trong những cải tiến chính ở đây, vì hiện nay có thể chữ ký để trích xuất chính xác thông tin để ghi nhật ký. Ví dụ: chữ ký có thể trích xuất phiên bản phần mềm được quảng cáo hoặc thông tin khác, chẳng hạn như người nhận email. [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Bước đầu tiên vào một tương lai an toàn hơn:
• Đây là bản phát hành đầu tiên mà chúng tôi đã triển khai các phần bằng ngôn ngữ Rust sử dụng khung phân tích cú pháp Nom. Tác phẩm này được lấy cảm hứng từ Pierre Chiffliers '(ANSSI), nói chuyện tại SuriCon 2016 (pdf). Bằng cách biên dịch với -enable-rust bạn sẽ nhận được một trình phân tích cú pháp NFS cơ bản và thực hiện lại trình phân tích cú pháp DNS. Phản hồi về điều này được đánh giá cao.
• Hỗ trợ Rust vẫn đang được thử nghiệm, vì chúng tôi đang tiếp tục khám phá cách thức hoạt động, thực hiện và những gì nó sẽ thực hiện để hỗ trợ nó trong cộng đồng. Ngoài ra chúng tôi đã bao gồm các trình phân tích cú pháp của Pierre Chiffliers Rust. Điều này sử dụng bộ phân tích cú pháp "thùng rác" bên ngoài Rust và được kích hoạt bằng cách sử dụng tính năng thử nghiệm chống gỉ. Ban đầu, điều này sẽ thêm một trình phân tích cú pháp NTP.
• Nâng cao:
• Một bản cập nhật động cơ dòng TCP chính được bao gồm. Điều này sẽ dẫn đến hiệu suất tốt hơn và ít cấu hình hơn, đặc biệt là ở chế độ IPS. Các bước đầu tiên trong phục hồi TCP GAP đã được thực hiện, với các triển khai cho DNS và NFS.
• Đối với nhà phát triển, bản phát hành này giúp mở rộng công cụ phát hiện với từ khóa hiệu suất cao dễ dàng hơn nhiều. Việc thêm từ khóa hiệu suất cao mới bằng cách sử dụng đối sánh nhiều mẫu hiện yêu cầu chỉ một vài dòng mã.
• Tài liệu:
• David Wharton tại SecureWorks đã tạo một phần trong tài liệu hướng dẫn cho các nhà văn quy tắc có nền trong Snort. Tài liệu này ghi lại các thay đổi có liên quan để viết các quy tắc.
• Các bước tiếp theo:
• Dựa trên phản hồi, chúng tôi dự kiến ​​sẽ thực hiện bản phát hành 4.0.1 trong một tháng hoặc lâu hơn. Sau đó, chúng tôi sẽ bắt đầu làm việc trên bản phát hành chính tiếp theo, là 4.1. Đây là kế hoạch cho cuối mùa thu, ETA trước SuriCon ở Prague.

Tính năng mới trong phiên bản 4.0.0:

• Phát hiện được Cải thiện:
• Dựa trên phản hồi có giá trị từ nhóm viết quy tắc tại các mối đe dọa mới nổi và công nghệ tích cực, chúng tôi đã thêm và cải thiện nhiều từ khóa quy tắc để kiểm tra HTTP, SSH và các giao thức khác. Các bổ sung TLS được đóng góp bởi Mats Klepsland tại NorCERT, bao gồm giải mã, ghi nhật ký và kết hợp trên các số sê-ri TLS. Ngoài ra, Suricata bây giờ cho phép các nhà văn quy tắc xác định ai là mục tiêu trong một chữ ký. Thông tin này được sử dụng trong ghi nhật ký JSON EVE để cung cấp thêm ngữ cảnh với cảnh báo.
• TLS được cải thiện, đã thêm NFS:
• Thông tin thêm về phía TLS: Một tính năng mới quan trọng là hỗ trợ STARTTLS trong SMTP và FTP. Các phiên TLS giờ đây sẽ được ghi lại trong các trường hợp này. Tốt hơn từ Mats Klepsland. Ngoài ra, việc ghi nhật ký nối lại phiên TLS hiện được hỗ trợ nhờ công việc của Ray Ruvinskiy. Các cải tiến khai thác gỗ TLS bổ sung được thực hiện bởi Paulo Pacheco.
• Giải mã NFS, ghi nhật ký và trích xuất tệp đã được thêm vào như một phần của hỗ trợ Rust thử nghiệm. Đọc để biết thêm thông tin về Rust.
• Thêm EVE JSON:
• EVE được mở rộng theo nhiều cách ...
• trong trường hợp lưu lượng đóng gói cả địa chỉ IP và cổng bên trong và bên ngoài được ghi lại
• cơ sở ‘vars’ ghi nhật ký lưu lượng và các loại vars khác. Điều này cũng có thể được sử dụng để ghi lại dữ liệu được trích xuất từ ​​lưu lượng truy cập bằng cách sử dụng câu lệnh PCRE trong quy tắc
• EVE hiện có thể được xoay dựa trên thời gian
• EVE đã được mở rộng để tùy chọn ghi lại yêu cầu HTTP và / hoặc các cơ quan phản hồi
• bản ghi luồng (một phần) được thêm vào các bản ghi cảnh báo.
• Cơ sở ‘vars’ là một trong những cải tiến chính ở đây, vì hiện nay có thể chữ ký để trích xuất chính xác thông tin để ghi nhật ký. Ví dụ: chữ ký có thể trích xuất phiên bản phần mềm được quảng cáo hoặc thông tin khác, chẳng hạn như người nhận email. [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Bước đầu tiên vào một tương lai an toàn hơn:
• Đây là bản phát hành đầu tiên mà chúng tôi đã triển khai các phần bằng ngôn ngữ Rust sử dụng khung phân tích cú pháp Nom. Tác phẩm này được lấy cảm hứng từ Pierre Chiffliers '(ANSSI), nói chuyện tại SuriCon 2016 (pdf). Bằng cách biên dịch với -enable-rust bạn sẽ nhận được một trình phân tích cú pháp NFS cơ bản và thực hiện lại trình phân tích cú pháp DNS. Phản hồi về điều này được đánh giá cao.
• Hỗ trợ Rust vẫn đang được thử nghiệm, vì chúng tôi đang tiếp tục khám phá cách thức hoạt động, thực hiện và những gì nó sẽ thực hiện để hỗ trợ nó trong cộng đồng. Ngoài ra chúng tôi đã bao gồm các trình phân tích cú pháp của Pierre Chiffliers Rust. Điều này sử dụng bộ phân tích cú pháp "thùng rác" bên ngoài Rust và được kích hoạt bằng cách sử dụng tính năng thử nghiệm chống gỉ. Ban đầu, điều này sẽ thêm một trình phân tích cú pháp NTP.
• Nâng cao:
• Một bản cập nhật động cơ dòng TCP chính được bao gồm. Điều này sẽ dẫn đến hiệu suất tốt hơn và ít cấu hình hơn, đặc biệt là ở chế độ IPS. Các bước đầu tiên trong phục hồi TCP GAP đã được thực hiện, với các triển khai cho DNS và NFS.
• Đối với nhà phát triển, bản phát hành này giúp mở rộng công cụ phát hiện với từ khóa hiệu suất cao dễ dàng hơn nhiều. Việc thêm từ khóa hiệu suất cao mới bằng cách sử dụng đối sánh nhiều mẫu hiện yêu cầu chỉ một vài dòng mã.
• Tài liệu:
• David Wharton tại SecureWorks đã tạo một phần trong tài liệu hướng dẫn cho các nhà văn quy tắc có nền trong Snort. Tài liệu này ghi lại các thay đổi có liên quan để viết các quy tắc.
• Các bước tiếp theo:
• Dựa trên phản hồi, chúng tôi dự kiến ​​sẽ thực hiện bản phát hành 4.0.1 trong một tháng hoặc lâu hơn. Sau đó, chúng tôi sẽ bắt đầu làm việc trên bản phát hành chính tiếp theo, là 4.1. Đây là kế hoạch cho cuối mùa thu, ETA trước SuriCon ở Prague.

Tính năng mới trong phiên bản 3.2.1:

• Tính năng # 1951: Cho phép xây dựng mà không có libmagic / file
• Tính năng # 1972: SURICATA ICMPv6 loại không xác định 143 cho báo cáo MLDv2
• Tính năng # 2010: Suricata phải xác nhận SSSE3 hiện diện khi chạy khi được xây dựng với hỗ trợ Hyperscan
• Lỗi # 467: biên dịch với hủy xác nhận và gỡ lỗi
• Lỗi # 1780: Các thẻ VLAN không được chuyển tiếp ở chế độ nội tuyến afpacket
• Lỗi # 1827: Mpm AC không cấp phát bộ nhớ
• Lỗi # 1843: Mpm Ac: int overflow trong init
• Lỗi # 1887: tập hợp pcap-log snaplen thành -1
• Lỗi # 1946: không thể nhận được thông tin phản hồi trong một số trường hợp
• Lỗi # 1973: suricata không khởi động được vì ổ cắm unix
• Lỗi # 1975: lưu trữ bộ nhớ cache / xbits
• Lỗi # 1982: tls: trình kích hoạt sự kiện kỷ lục không hợp lệ trên lưu lượng truy cập hợp lệ
• Lỗi # 1984: http: vấn đề phát hiện giao thức nếu cả hai bên không đúng định dạng
• Lỗi # 1985: pcap-log: rò rỉ bộ nhớ nhỏ
• Lỗi # 1987: nhật ký-pcap: tệp pcap được tạo bằng snaplen không hợp lệ
• Lỗi # 1988: lỗi tls_cert_subject
• Lỗi # 1989: Phát hiện giao thức SMTP phân biệt chữ hoa chữ thường
• Lỗi # 1991: Dữ liệu Suricata không thể phân tích cú pháp cổng: & quot;! [1234, 1235] & quot;
• Lỗi # 1997: tls-store: lỗi khiến cho Suricata gặp sự cố
• Lỗi # 2001: Xử lý các phản hồi DNS không được yêu cầu.
• Lỗi # 2003: BUG_ON body đôi khi chứa mã phụ có hiệu lực
• Lỗi # 2004: Tính toán băm tệp không hợp lệ khi sử dụng hàm băm
• Lỗi # 2005: Kích thước không liên quan giữa yêu cầu, chụp và chiều dài http
• Lỗi # 2007: smb: phát hiện giao thức chỉ kiểm tra máy chủ
• Lỗi # 2008: Dữ liệu ngoại vi 3.2, nhật ký pcap không còn hoạt động do timestamp_pattern PCRE
• Lỗi # 2009: Suricata không thể tải xuống cài đặt khi chạy dưới gốc không
• Lỗi # 2012: dns.log không ghi lại các truy vấn chưa được trả lời
• Lỗi # 2017: Nhật ký EVE Thiếu trường
• Lỗi # 2019: Vấn đề trốn tránh IPv4 chống phân mảnh
• Lỗi # 2022: dns: hết bộ nhớ bị ràng buộc đọc

Tính năng mới trong phiên bản 3.2:

• Thay đổi lớn:
• bỏ qua
• bộ lọc trước - từ khoá gói nhanh
• Cải thiện TLS
• Bổ sung giao thức SCADA / ICS: DNP3 CIP / ENIP
• SHA1 / SHA256 để đối sánh, ghi nhật ký và trích xuất tệp
• Tài liệu Sphinx
• Các thay đổi nhỏ hơn có thể nhìn thấy:
• Tắt tải NIC theo mặc định
• Ổ cắm lệnh unix được bật theo mặc định
• Số liệu thống kê của Lớp Ứng dụng
• Dưới mui xe:
• đơn giản hóa luồng (log api + không còn khởi động lại chuỗi)
• tối ưu hóa quản lý luồng
• đơn giản hóa việc thêm từ khoá
• luajit cải thiện xử lý bộ nhớ wrt trong các triển khai lớn

Tính năng mới trong phiên bản 3.1.2:

• Tính năng # 1830: hỗ trợ ‘thẻ’ trong nhật ký eve
• Tính năng # 1870: tạo lưu lượng đăng nhập_id duy nhất hơn
• Tính năng # 1874: hỗ trợ Đường dẫn Vải của Cisco / DCE
• Tính năng # 1885: eve: thêm tùy chọn để ghi nhật ký tất cả các gói bị xóa
• Tính năng # 1886: dns: lọc đầu ra
• Lỗi # 1849: ICMPv6 cảnh báo tổng kiểm tra không chính xác nếu Ethernet FCS có mặt
• Lỗi # 1853: sửa bộ đệm dce_stub_data
• Lỗi # 1854: unified2: ghi nhật ký các gói được gắn thẻ không hoạt động
• Lỗi # 1856: Không tìm thấy thiết bị chế độ PCAP
• Lỗi # 1858: Nhiều dữ liệu yêu cầu bị sao chép / DNS không hợp lệ của TCP 'sau khi nâng cấp từ 3.0.1 lên 3.1.1
• Lỗi # 1878: dns: lỗi khi ghi nhật ký sshfp
• Lỗi # 1880: gói lỗi icmpv4 có thể dẫn đến phát hiện bị nhỡ trong tcp / udp
• Lỗi # 1884: libhtp 0.5.22

Tính năng mới trong phiên bản 3.1.1:

• Tính năng # 1775: Lua: Hỗ trợ SMTP
• Lỗi # 1419: Sự cố xử lý giao dịch DNS
• Lỗi # 1515: Sự cố với Threshold.config khi sử dụng nhiều IP
• Lỗi # 1664: Truy vấn DNS không được trả lời không được ghi lại khi lưu lượng ra khỏi độ tuổi
• Lỗi # 1808: Không thể đặt ưu tiên chuỗi sau khi xóa các đặc quyền
• Lỗi # 1821: Lỗ hổng 3.1 không khởi động được trên CentOS6
• Lỗi # 1839: suricata 3.1 configure.ac nói & gt; = libhtp-0.5.5, nhưng & gt; = libhtp-0.5.20 được yêu cầu
• Lỗi # 1840: danh sách-từ khóa và danh sách-ứng dụng-lớp-ảnh không hoạt động
• Lỗi # 1841: libhtp 0.5.21
• Lỗi # 1844: netmap: Chế độ IPS không đặt iface thứ 2 trong chế độ promisc
• Lỗi # 1845: Sự cố khi tắt giao thức tầng ứng dụng khi trình ghi nhật ký của nó vẫn được bật
• Tối ưu hóa # 1846: af-packet: cải thiện logic tính toán chuỗi
• Tối ưu hóa # 1847: quy tắc: không cảnh báo về các tệp trống

Tính năng mới trong phiên bản 3.0.1:

• các tùy chọn phát hiện được cải thiện, bao gồm cả nhiều thời gian thuê và xbits
• hiệu suất và khả năng mở rộng được cải thiện nhiều
• độ chính xác và độ mạnh được cải thiện nhiều
• Khả năng tạo kịch bản Lua được mở rộng đáng kể
• nhiều cải tiến đầu ra, bao gồm nhiều JSON hơn
• Hỗ trợ phương thức chụp NETMAP, đặc biệt thú vị đối với người dùng FreeBSD
• Kiểm tra SMTP và trích xuất tệp

Tính năng mới trong phiên bản 3.0:

• các tùy chọn phát hiện được cải thiện, bao gồm cả nhiều thời gian thuê và xbits
• hiệu suất và khả năng mở rộng được cải thiện nhiều
• độ chính xác và độ mạnh được cải thiện nhiều
• Khả năng tạo kịch bản Lua được mở rộng đáng kể
• nhiều cải tiến đầu ra, bao gồm nhiều JSON hơn
• Hỗ trợ phương thức chụp NETMAP, đặc biệt thú vị đối với người dùng FreeBSD
• Kiểm tra SMTP và trích xuất tệp

Tính năng mới trong phiên bản 2.0.9:

• Thay đổi:
• Lỗi # 1385: Vấn đề phân tích lưu lượng truy cập DCERPC
• Lỗi # 1391: vấn đề phân tích cú pháp uri http
• Lỗi # 1383: vấn đề cửa sổ trung gian tcp
• Lỗi # 1318: Sự cố đồng bộ hóa luồng trong luồngTCP
• Lỗi # 1375: Tùy chọn regressions trong danh sách từ khóa
• Lỗi # 1387: tệp pcap bị treo trên hệ thống với hỗ trợ nguyên tử
• Lỗi # 1395: lỗi ngắt ổ cắm unix socket
• Tối ưu hóa # 1376: danh sách tệp không được dọn sạch
• Bảo mật:
• Vấn đề phân tích cú pháp DCERPC đã được gán cho CVE-2015-0928.

Tính năng mới trong phiên bản 2.0.7:

• Thay đổi:
• Lỗi # 1385: Vấn đề phân tích lưu lượng truy cập DCERPC
• Lỗi # 1391: vấn đề phân tích cú pháp uri http
• Lỗi # 1383: vấn đề cửa sổ trung gian tcp
• Lỗi # 1318: Sự cố đồng bộ hóa luồng trong luồngTCP
• Lỗi # 1375: Tùy chọn regressions trong danh sách từ khóa
• Lỗi # 1387: tệp pcap bị treo trên hệ thống với hỗ trợ nguyên tử
• Lỗi # 1395: lỗi ngắt ổ cắm unix socket
• Tối ưu hóa # 1376: danh sách tệp không được dọn sạch
• Bảo mật:
• Vấn đề phân tích cú pháp DCERPC đã được gán cho CVE-2015-0928.

Tính năng mới trong phiên bản 2.0.6:

• Lỗi # 1364: các vấn đề về trốn tránh
• Lỗi # 1337: output-json: ghi nhật ký trùng lặp
• Lỗi # 1325: phát hiện tls dẫn đến các khoảng trống chuỗi khôi phục tcp (IPS)
• Lỗi # 1192: Siêu dữ liệu không biên dịch trên OS X / Clang do định nghĩa lại các hàm chuỗi
• Lỗi # 1183: pcap: cảnh báo cppcheck

Tính năng mới trong phiên bản 2.0.5:

• Lỗi # 1190: từ khoá http_header không khớp khi SYN | ACK và ACK bị thiếu
• Lỗi # 1246: EVE đầu ra Ổ cắm miền Unix không hoạt động
• Lỗi # 1272: Phân đoạn trong libhtp 0.5.15
• Lỗi # 1298: Vấn đề phân tích cú pháp từ khóa Filestore
• Lỗi # 1303: cải thiện phát hiện 'cập nhật cửa sổ không hợp lệ' '
• Lỗi # 1304: cải thiện việc xử lý luồng các giá trị SACK bị lỗi
• Lỗi # 1305: khắc phục việc sử dụng lại phiên tcp cho các phiên ssh / ssl
• Lỗi # 1307: byte_extract, trong kết hợp không hoạt động
• Lỗi # 1326: thu thập dữ liệu pcre pkt / flowvar bị hỏng cho các kết quả không tương đối
• Lỗi # 1329: Quy tắc không hợp lệ đang được xử lý và được tải
• Lỗi # 1330: Lỗi lưu trữ sổ kế toán memuse (2.0.x)

Tính năng mới trong phiên bản 2.0.4:

• Thay đổi:
• Lỗi # 1276: vấn đề chống phân mảnh ipv6 với tiêu đề định tuyến
• Lỗi # 1278: vấn đề trình phân tích cú pháp biểu ngữ ssh
• Lỗi # 1254: sự cố phân tích cú pháp sig trên từ khóa rev không đúng định dạng
• Lỗi # 1267: vấn đề với việc ghi nhật ký ipv6
• Lỗi # 1273: Lua - http.request_line không hoạt động
• Lỗi # 1284: Chế độ IPS AF_PACKET không ghi nhật ký và sự cố nội tuyến luồng
• Bảo mật:
• CVE-2014-6603

Tính năng mới trong phiên bản 2.0.3:

• Lỗi # 1236: khắc phục sự cố tiềm năng trong phân tích cú pháp http
• Lỗi # 1244: vấn đề chống phân mảnh ipv6
• Lỗi # 1238: Có thể trốn trong luồng-tcp-reassemble.c
• Lỗi # 1221: bảng chuyển đổi chữ thường thiếu giá trị cuối cùng
• Hỗ trợ # 1207: Không thể biên dịch trên CentOS 5 x64 có thể định cấu hình -enable
• Đã cập nhật libhtp đã được nhóm thành thành 0.5.15

Tính năng mới trong phiên bản 2.0 RC1:

• Đã thêm đầu ra JSON hợp nhất. Xử lý VLAN đã được cải thiện.
• Hỗ trợ QinQ đã được thêm.
• Tùy chọn dòng lệnh cho cài đặt cấu hình ghi đè đã được thêm.
• Xử lý ICMPv6 đã được cải thiện.
• Bản ghi nhớ cho xử lý DNS và HTTP đã được thêm.
• Một số cải tiến chụp gói đã được thực hiện.
• Đã thêm mã chạy NSM được tối ưu hóa.
• Nhiều sự cố khác đã được khắc phục.

Tính năng mới trong phiên bản 2.0 Beta 2:

• Hỗ trợ VLAN đã được cải thiện.
• Tùy chọn IP Defrag đã được thêm.
• Tùy chọn đã được thêm để bật và tắt trình phân tích cú pháp giao thức.
• Phát hiện giao thức đã được cải thiện.
• Cải thiện IPv6 đã được thực hiện.
• Kiểm tra HTTP đã được cải thiện.
• Tùy chọn lược tả đã được mở rộng.
• Nhiều thay đổi khác đã được thực hiện.

Tính năng mới trong phiên bản 1.4.7:

• Bản sửa lỗi:
• Lỗi # 996: từ khóa thẻ: các phiên gắn thẻ mỗi lần bị hỏng
• Lỗi # 1000: trì hoãn phát hiện ngưỡng truy cập trước de_ctx
• Lỗi # 1001: ip_rep đang tải sự cố với nhiều giá trị cho một ip
• Lỗi # 1022: StreamTcpPseudoPacketSetupHeader: logic hoán đổi cổng không nhất quán
• Lỗi # 1047: detect-engine.profile - phân tích cú pháp giá trị tùy chỉnh bị hỏng
• Lỗi # 1063: đặt hàng quy tắc với nhiều vars

Tính năng mới trong phiên bản 1.4.6:

• Lỗi 958: bản ghi SSL không đúng định dạng dẫn đến lỗi. Báo cáo bởi Sebastian Roschke. CVE-2013-5919.
• Lỗi 971: Trình kết hợp mẫu AC vượt quá giới hạn bộ nhớ bị giới hạn.
• Lỗi 965: cải thiện việc xử lý nội dung phủ định. Được báo cáo bởi Will Metcalf.
• Lỗi 937: khắc phục sự cố giải mã IPv6 trong IPv6.
• Lỗi 934: cải thiện phân tích địa chỉ.
• Lỗi 969: sửa lỗi hợp nhất2 không ghi nhật ký các gói được gắn thẻ.

Tính năng mới trong phiên bản 1.4.5:

• Các sự cố IPv6 đã được khắc phục.