Unterschied zwischen Zeek (Bro) und Snort 3

Snort ist eher ein traditionelles IDS / IPS, das eine eingehende Paketprüfung durchführt und dann Signaturen anwendet den Datenverkehr, um Angriffe zu erkennen (und möglicherweise zu blockieren).

Zeek behauptet nicht, ein IDS zu sein, sondern behauptet, ein Netzwerkmonitor und ein Verkehrsanalysator zu sein. Von ihre eigene Beschreibung :

Zeek ist ein passiver Open-Source-Netzwerkverkehrsanalysator. Dies ist in erster Linie ein Sicherheitsmonitor Untersucht den gesamten Datenverkehr auf einer Verbindung eingehend auf Anzeichen verdächtiger Aktivitäten. Im Allgemeinen unterstützt Zeek jedoch eine Vielzahl von Aufgaben zur Verkehrsanalyse auch außerhalb des Sicherheitsbereichs, einschließlich Leistungsmessungen und Hilfe bei der Fehlerbehebung.

Soweit ich weiß (d.h. Was ich aus Gesprächen mit anderen bekommen habe) Zeek wird daher eher verwendet, um die Details des Verkehrs zu erfassen und diese an ein Analysesystem weiterzuleiten. Die Analyse in Bezug auf Angriffe erfolgt hauptsächlich außerhalb von Zeek. Der Schwerpunkt von Zeek liegt auf der Erfassung detaillierter Informationen über den Verkehr. Manchmal werden benutzerdefinierte Protokolldissektoren hinzugefügt, die für die in der Umgebung verwendeten Protokolle spezifisch sind. Ich denke, Bro / Zeek wird beispielsweise in Darktrace verwendet, um die Verkehrsdetails abzurufen.

Klassische signaturbasierte IDS wie Snort oder Suricata werden stattdessen eher als tatsächliche IDS verwendet, d. H. Der Fokus liegt auf dem Abgleichen bestimmter Angriffssignaturen. Beispielsweise stellt Cisco seinen Abonnenten neue Signaturen zur Verfügung, wenn neue Angriffe auftreten. Ich kenne aber auch einige Fälle, in denen Snort oder Suricata nur verwendet werden, um Informationen über den Verkehr zu sammeln und diese Verkehrsdetails in ein größeres System einzuspeisen, ähnlich wie Zeek normalerweise verwendet wird.

Mit anderen Worten: Es gibt überlappende Funktionalität. Die Hauptziele dieser Tools sind jedoch unterschiedlich und daher auch die Anwendungsfälle.

Beide sind NIDS ( Systeme zur Erkennung von Netzwerkeinbrüchen). Der Hauptunterschied besteht in der Art und Weise, wie sie die Erkennung durchführen. Beispielsweise erfolgt die Erkennung beim Schnauben innerhalb der Software mithilfe von Regeln. Auf der anderen Seite speichert Bro / Zeek die Informationen in Dateien und Sie müssen die Erkennung mit anderen Tools durchführen. Ich denke jedoch, dass Sie in bro Plugins in Lua erstellen können, die die Netzwerkkonversationen nach Ihren Wünschen kennzeichnen können. Wahrscheinlich gibt es weitere Unterschiede (Lizenz, Formatdateien usw.), aber im Moment sind mir diese in den Sinn gekommen.

Kommentare

• danke für deine antwort. Aber ich ' interessiere mich für spezifischere Dinge. Vielleicht kann Zeek die Arten von Angriffen erkennen, die das Schnauben nicht kann? Oder erfordert es weniger Ressourcen?
• @ustavsaat, welche Angriffe möchten Sie erkennen? Dies kann Ihnen helfen, " das richtige Werkzeug für den Job " zu finden oder jemanden dazu zu bringen, etwas vorzuschlagen, das Sie haben ' wird nicht berücksichtigt wie RITA .