Zeek (Broسابق)یک فریم ورک تحلیل شبکه که رایگان و منبع باز است.اولین بار در سال1994توسط ورن پاکسون ساخته شد و در اصل با اشاره به برادر بزرگ جورج اورول از رمان نوزده هشتاد و چهارش نامگذاری شد.می تواند به عنوان یک سیستم تشخیص نفوذ شبکه(NIDS)اما با تجزیه و تحلیل زنده اضافی از وقایع شبکه استفاده شود.تحت مجوزBSDمنتشر می شود.
بسته هایIPگرفته شده باpcapبه موتور رویدادی منتقل می شوند که آنها را قبول یا رد می کند.بسته های پذیرفته شده به مفسر اسکریپت خط مشی ارسال می شوند.
موتوررویدادها، ترافیک زنده یا ضبط شده شبکه را تجزیه و تحلیل می کند.این اتفاقات زمانی روی می دهد که“یک چیزی“اتفاق بیفتد.
رویدادها توسط اسکریپت های خط مشی اداره می شوند ، که رویدادها را تجزیه و تحلیل می کنند تا سیاست های عملیاتی ایجاد کنند.متن ها به زبان برنامه نویسی کامل تورینگZeekنوشته شده اند.به طور پیش فرضZeekبه راحتی اطلاعات مربوط به رویدادها را در پرونده ها ثبت می کند(Zeekاز ثبت وقایع در خروجی باینری نیز پشتیبانی می کند).با این حال ، می توان آن را پیکربندی کرد تا اقدامات دیگری مانند ارسال ایمیل ، افزایش هشدار ، اجرای دستور سیستم ، به روزرسانی متریک داخلی و حتی فراخوانی اسکریپتZeekدیگر را انجام دهد.رفتار پیش فرض ، خروجی مانندNetFlow (ورودی ورود به سیستم)و همچنین اطلاعات رویداد برنامه را تولید می کند.اسکریپت هایZeekقادر به خواندن داده های پرونده های خارجی مانند لیست های سیاه برای استفاده در اسکریپت های سیاستZeekهستند.
Suricata یک موتور تشخیص نفوذ متن باز است که توسط OISF ایجاد شده است. نسخه Beta آن در اواخر سال 2009 و نسخه استاندارد آن در اواسط سال 2010 منتشر شد. این موتور می تواند به عنوان یک سیستم تشخیص نفوذ (IDS)، سیستم جلوگیری از نفوذ (IPS) و یا به عنوان ناظر بر امنیت شبکه استفاده شود. این ابزار با استفاده از مجموعه قوانین گسترده و زبان امضا، بر ترافیک شبکه نظارت می کند.
همان طور که بیان شد یکی از رایج ترین گزینه ها ،Snort است که مدت هاست ابزاری مورد علاقه بسیاری از ادمین های شبکه است.اگرچهSuricataبسیار جدیدتر است، اما چندین مزیت دارد.این دو ابزار در معماری های مختلفی بنا شده اند، اما هر دو از امضاهای یکسان برای تشخیص استفاده می کنند.یک تفاوت اساسی بین آنهاچند نخی بودنSuricataاست، به این معنی که این ابزار می تواند از چند هسته همزمان در انجام امور خود استفاده کند(پردازش موازی).
این موتور به منظور بهره گیری از جدیدترین مجموعه های تراشه پردازنده چند هسته ای و همچنین استفاده از شتاب سخت افزاری برای قدرت پردازش بیشتر طراحی شده است.راندمان بالا، پشتیبانی ازIPو تشخیص خودکار پروتکل، آن را به ابزاری اثربخش برای دید بیشتر به شبکه تبدیل می کند. Suricataابزاری عالی و کم هزینه است که به نظارت بیشتر در شبکه کمک کرده و با طیف وسیعی از ابزارهایSnortسازگار است.
تعامل با چندینCPUبهSuricataاجازه می دهد تا چندین رویداد را همزمان بدون اینکه مجبور به قطع سایر درخواست ها شود، انجام دهد.قابلیت چند نخی، این ابزار را قادر می سازد تا بینCPUها تعادل بار(Load Balancing)برقرار کند،این قابلیت یک مزیت سیار بزرگی محسوب شده چرا که این ابزار می تواند مقادیر زیادی از ترافیک را بدون نیاز به کاهش قوانین، پردازش کند و این خود موجب کاهش بار پردازشی می گردد. بنابراین این سیستم تشخیص نفوذ می تواند عملکرد کلی تحلیل ترافیک شبکه را بهبود بخشد.
در همه مراحل یک کارت شبکه مشخص میشود که ترافیک شبکه به طو mirror به آن ارسال میشود. سناریو همان span پورت در سوییچ است.
ادامه مطلب در لینک منبع
