Опубликован релиз системы анализа трафика и выявления сетевых вторжений Zeek 8.0.0, ранее распространявшейся под именем Bro. Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Код системы написан на языке С++ и распространяется под лицензией BSD...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63772
А зачем смешивать два разных продукта в одной новости? Они как-то связаны?
Админ просто ленится. Год назад было так:
https://www.opennet.dev/opennews/art.shtml?num=61790Теперь же про Wireshark ни слова.
Спасибо, скачал)
nmap ещё Нео из первой Матрицы юзал, хакер.
Мистер Робот все еще самая достоверная картина про хакеров из всех. А еще она познавательная: из нее я узнал про команду shred например.
Когда уже РКН свои либы DPI в опенсорс выложит? (
Не могут, у них нет своих, у них то что наклянчили у Китая и Ирана
Там уже тестируют полную изоляцию:
https://habr.com/ru/news/939266/
ага, под названием сендвайн :)
С помощью оборудования китайской ZTE людям в России гадости делают?
При помощи китайского и иранского софта DPI работают железки ТСПУ стоящие в разрыв каналов у провайдеров, нет тут никакого секрета
Оборудование там ZTE или уже засекретили?
Северную Корею забыл.(вроде все прекрасно знают что ТСПУ это самобытная поделка от rdp.ru, но у опеннетовских шизов как обычно альтернативная вселенная)
а он ещё не выложил? он ведь на ваши налоги работает
хотелось бы сравнение (кратко, основное) отличий со Snort.. лучше всего - перечень того, где оно лучше снорта и почему..
Отличия сетевого сканера от IDS?
А отличия IDS от тарелки с кашей тебе надо в табличку свести?
> Отличия сетевого сканера от IDS?
> А отличия IDS от тарелки с кашей тебе надо в табличку свести?вот про это и речь.. и то и то - позционируется как ids, но есть нюансы, о которых ни слова..
и да, сетевой сканер - это nmap, а zeek всё же немного другое..
Любой IDS выделяется лишь своим набором правил, которые кто-то должен обновлять.
Zeek умеет в правила от Snort, так что разницы кроме настроек особо никакой.
> Любой IDS выделяется лишь своим набором правил, которые кто-то должен обновлять.
> Zeek умеет в правила от Snort, так что разницы кроме настроек особо
> никакой.есть иное мнение.. например:
https://tolumichael.com/snort-vs-suricata-vs-zeek/и разница таки есть..
Водянка от иишечки по ссылке.
Вот настроил ты IDS, где-то получаешь алерты, по ним твои скрипты могут менять настройки сети.
Меняешь IDS, правила теже, оставляешь формат алертов, скрипты теже.>и разница таки есть..
Настройки и потребление ресурсов. В остальном лучше опиши ее на своем
опыте чем давать такие ссылки.
> Водянка от иишечки по ссылке.
> Вот настроил ты IDS, где-то получаешь алерты, по ним твои скрипты могут
> менять настройки сети.
> Меняешь IDS, правила теже, оставляешь формат алертов, скрипты теже.вы, наверное, с zeek дел вообще не имели, т.к. "правила теже" и "Zeek умеет в правила от Snort" - не соответствует действительности от слова "совсем"©.. не хотите читать ссылку выше - есть офсайт, где разжёвано про "pattern matching":
https://old.zeek.org/manual/2.5.5/frameworks/signatures.html... тут ещё упомянут snort2bro как пример фейла автотрансфера правил снорт в бро/зикгрубо говоря, zeek - не для ширнармасс.. субъективно..
p.s.:
а то тут уже некоторые/многие "качать" собрались.. удачи.. мдэ..
404 Not Found
> 404 Not Foundавтоформатирование сбило ссылку.. а вы, как вижу, и не сообразили..
https://old.zeek.org/manual/2.5.5/frameworks/signatures.html
>не соответствует действительностиии от гугла так не считает
https://www.google.com/search?q=zeek+snort+rules>You can use Snort rules with Zeek by loading signature files (e.g., using the -s flag or @load-sigs directive)
>грубо говоря, zeek - не для ширнармасс.. субъективно..Свой zeek DSL придумали, ок
https://docs.zeek.org/en/master/scripting/basics.htmlЕсть где-то база этих скриптов, которую коммунити или еще кто обновляет ?!
Я не нашел ничего интересного кроме
https://github.com/michalpurzynski/zeek-scripts
> ии от гугла так не считает
> https://www.google.com/search?q=zeek+snort+rules
>>You can use Snort rules with Zeek by loading signature files (e.g., using the -s flag or @load-sigs directive)как вы там про ии выше рассуждали? зачем тут ии, если есть офсайт:
https://docs.zeek.org/en/master/frameworks/signatures.htmlвыше приводил ссылку на примерную версию зика, где таки бросили поддержку snort2bro из-за остсутствия смысла в ней.. системы (снорт и зик) разные, с разными целями..
https://github.com/zeek/zeek/blob/master/man/zeek.8
-s
read rules from given file
и файл $INSTALLPATH/share/zeek/base/frameworks/signatures/main.zeek к снорту не имеет ни малейшего отношения, кроме того, что это "сигнатуры".. вернее их представления для зик-а..
>>грубо говоря, zeek - не для ширнармасс.. субъективно..
> https://docs.zeek.org/en/master/scripting/basics.htmlда, или учишь скрипты зика (и всю его кухню) или пользуешь snort (или suricata, если снорт-а не хватает и ресурсы позволяют)
> Есть где-то база этих скриптов, которую коммунити или еще кто обновляет ?!если правильно понимаю, то:
https://docs.zeek.org/en/master/script-reference/scripts.html
референс, что обновляется/изменяется каждый релиз, на основе которого делаешь именно то, что тебе надо.."коллекции" Purzynski уже 7 лет как (и она для "старого" bro, если по-хорошему).. без понимания скрипта, грузить что-то - идея так себе (это не однострочник на перле, но близко)..
можно посмотреть:
https://github.com/mvlnetdev/zeek_detection_script_collectionи пинать поисковик(и) на тему:
?q=zeek+scripts+collectionможет где-то и ведётся какой-то "централизованный" хаб/котёл для скриптов зика от сообщества - не встречал.. обычно каждый пилит что ему надо..
извините за много букв..
>извините за много букв..Не не, благодарю. Осознал что это удобный DSL если захочу что-то
конкретное в сети поискать(конечно подобное доступно и через wireshark dissectors).Например, статистика по TLS SNI, полагаю она будет в штуках, а не байтах.
В open argus у меня был бы ответ еще и в байтах.
Короче больше тут никого не отвлекаю
snort нуждается в pcre а zeek нет.
pcre автор без фин. помощи быстро фиксить не хочет (был ньюс тут).
так что снорт потенциально дырявее.
так то, дядя.
Нужно будет попробовать, хочу дома поставить, фильтровать трафик. Не всегда firewall подходит, когда нужно блокировать не сетевой протокол а например а уровне протокола приложения.
Скачал пакет zeek_8.0.0-0_amd64.deb
А зависимости zeek-core (= 8.0.0-0), zeekctl (= 8.0.0-0), zeek-core-dev (= 8.0.0-0), zeek-spicy-dev (= 8.0.0-0), zeek-zkg (= 8.0.0-0), zeek-client (= 8.0.0-0) где взять? А то пустышка получается, а не пакет.
Из AUR, конечно. А... ну да.