Ero Zeekin (Bro) ja Snort 3: n välillä

Snort on enemmän perinteinen IDS / IPS, joka tekee jonkin verran syvää pakettitarkastusta ja käyttää sitten allekirjoituksia liikennettä hyökkäysten havaitsemiseksi (ja ehkä myös estämiseksi).

Zeek ei väitä olevansa IDS: n sijaan, se väittää olevansa verkkomonitori ja liikenteen analysaattori. From oma kuvaus :

Zeek on passiivinen, avoimen lähdekoodin verkkoliikenteen analysaattori. Se on ensisijaisesti suojausvalvoja, joka tarkastaa kaiken linkin liikenteen perusteellisesti epäilyttävän toiminnan merkkien varalta.Yleisemmin Zeek tukee kuitenkin laajaa liikenneanalyysityötä jopa suojausalueen ulkopuolella, mukaan lukien suorituskyvyn mittaukset ja vianetsinnän apu.

Sikäli kuin tiedän (ts. mitä sain keskusteluista muiden kanssa) Zeekiä käytetään siis enemmän liikenteen yksityiskohtien kuvaamiseen ja niiden lähettämiseen johonkin analysointijärjestelmään. Hyökkäyksiä koskeva analyysi tehdään ensisijaisesti Zeekin ulkopuolella, ja Zeek keskittyy yksityiskohtaisten tietojen keräämiseen liikenteestä. Joskus lisätään mukautettuja protokollan leikkaajia, jotka ovat ominaisia ympäristössä käytetyille protokollille. Luulen, että Bro / Zeekiä käytetään esimerkiksi Darktracessa liikennetietojen saamiseksi.

Klassiseen allekirjoitukseen perustuvia IDS: iä, kuten Snort tai Suricata, käytetään sen sijaan enemmän todellisena IDS: nä, eli keskitytään tiettyjen hyökkäysallekirjoitusten vastaamiseen. Esimerkiksi Cisco tarjoaa tilaajilleen uusia allekirjoituksia, kun uusia hyökkäyksiä ilmaantuu. Mutta tiedän myös useita tapauksia, joissa Snortia tai Suricataa käytetään vain keräämään tietoja liikenteestä ja syöttämään nämä liikennetiedot suurempaan järjestelmään, samalla tavalla kuin Zeekiä yleensä käytetään.

Toisin sanoen: on päällekkäiset toiminnot. Näiden työkalujen ensisijaiset tavoitteet ovat kuitenkin erilaiset ja siten myös käyttötapaukset.

Molemmat ovat NIDS ( Verkon tunkeutumisen havaitsemisjärjestelmät). Tärkein ero on tapa, jolla he tekevät tunnistuksen, esimerkiksi uurruksessa havainto tehdään ohjelmiston sisällä sääntöjen avulla. Toisaalta Bro / Zeek toimii tuhoamalla tiedostojen tiedot ja sinun on tehtävä tunnistus muilla työkaluilla, mutta mielestäni bro: ssa voit luoda Lua-laajennuksia, jotka voivat merkitä verkkokeskustelut haluamallasi tavalla. Todennäköisesti eroja on enemmän (lisenssi, tiedostomuodot ja niin edelleen), mutta juuri nyt mieleeni tulivat.

Kommentit

• kiitos vastauksestasi. Mutta olen ' kiinnostunut tarkemmista asioista. Ehkä zeek pystyy havaitsemaan ne hyökkäystyypit, joita ei kuorsaa? Tai ehkä se vaatii vähemmän resursseja?
• @ustavsaat, mitä hyökkäyksiä olet kiinnostunut havaitsemaan? Se voi auttaa sinua löytämään " oikean työkalun työhön " tai saada jonkun ehdottamaan jotain, mitä sinulla on ' t pidetään esimerkiksi RITA .