Jeg prøver at finde forskel mellem Zeek og Snort 3. Kan nogen fortælle mig, hvad er fordelene ved Zeek mod Snort 3?
Svar
Snort er mere en traditionel IDS / IPS, der foretager en dyb pakkeinspektion og derefter anvender underskrifter på trafikken for at opdage (og måske blokere) angreb.
Zeek hævder ikke at være et IDS: i stedet hævder det at være en netværksmonitor og trafikanalysator. Fra deres egen beskrivelse :
Zeek er en passiv, open source netværkstrafikanalysator. Det er primært en sikkerhedsmonitor, der inspicerer al trafik på et link i dybden for tegn på mistænkelig aktivitet. Mere generelt understøtter Zeek dog en bred vifte af trafikanalyseopgaver, selv uden for sikkerhedsdomænet, herunder målinger af ydeevne og hjælp til fejlfinding.
Så vidt jeg ved (dvs. hvad jeg fik fra diskussioner med andre) Zeek er derfor mere brugt til at fange detaljerne i trafikken og videresende disse til noget analysesystem. Analysen vedrørende angreb udføres primært uden for Zeek, og Zeek fokuserer på at indsamle detaljerede oplysninger om trafikken. Nogle gange tilføjes tilpassede protokoldissektorer, som er specifikke for de protokoller, der bruges i miljøet. Jeg tror, at Bro / Zeek for eksempel bruges i Darktrace for at få trafikoplysningerne.
Klassiske signaturbaserede IDS som Snort eller Suricata bruges i stedet mere som faktiske IDS, dvs. fokus er på at matche specifikke angrebssignaturer. For eksempel giver Cisco sine abonnenter nye underskrifter, når nye angreb dukker op. Men jeg kender også flere tilfælde, hvor Snort eller Suricata bruges til kun at indsamle oplysninger om trafikken og føde disse trafikoplysninger til et større system, svarende til hvordan Zeek typisk bruges.
Med andre ord: der er overlappende funktionalitet. Men de primære mål med disse værktøjer er forskellige, og dermed er det også brugssagerne.
Svar
Begge er NIDS ( Netværk indtrængningsdetekteringssystemer). Den væsentligste forskel er den måde, hvorpå de foretager detektionen, for eksempel i fnys sker detektionen i softwaren ved hjælp af regler. På den anden side fungerer Bro / Zeek ved at dumpe oplysningerne om filer, og du skal udføre detektionen med andre værktøjer, men jeg tror, at du i bro kan oprette plugins i Lua, der kan mærke netværkssamtalerne, som du vil. Der er sandsynligvis flere forskelle (licens, formatfiler osv.) Men lige nu er det dem, der kom til mig.
Kommentarer
- tak for dit svar. Men jeg ' er interesseret i mere specifikke ting. Måske kan zeek opdage de typer angreb, som snorken ikke kan? Eller måske kræver det mindre ressourcer?
- @ustavsaat, hvilke angreb er du interesseret i at opdage? Det kan hjælpe dig med at finde " det rigtige værktøj til jobbet " eller få nogen til at foreslå noget, du har ' t betragtes som RITA .