Próbuję znaleźć różnicę między Zeekiem a Snortem 3. Czy ktoś może mi powiedzieć, jakie są zalety Zeeka przeciwko Snort 3?
Odpowiedź
Snort jest bardziej tradycyjnym IDS / IPS, który wykonuje głęboką inspekcję pakietów, a następnie stosuje podpisy na ruch w celu wykrycia (i może zablokowania) ataków.
Zeek nie twierdzi, że jest IDS: zamiast tego twierdzi, że jest monitorem sieci i analizatorem ruchu. Od własny opis :
Zeek to pasywny analizator ruchu sieciowego o otwartym kodzie źródłowym. Jest to przede wszystkim monitor bezpieczeństwa, dokładnie sprawdza cały ruch na łączu pod kątem oznak podejrzanej aktywności. Jednak ogólnie rzecz biorąc, Zeek obsługuje szeroki zakres zadań analizy ruchu, nawet poza domeną bezpieczeństwa, w tym pomiary wydajności i pomoc w rozwiązywaniu problemów.
O ile wiem (tj. co otrzymałem z rozmów z innymi) Zeek jest zatem bardziej przyzwyczajony do rejestrowania szczegółów ruchu i przesyłania ich do jakiegoś systemu analitycznego. Analiza dotycząca ataków jest wykonywana głównie poza Zeek, a Zeek skupia się na zbieraniu szczegółowych informacji o ruchu. Czasami dodawane są niestandardowe dysektory protokołów, które są specyficzne dla protokołów używanych w środowisku. Myślę, że Bro / Zeek jest na przykład używany w Darktrace do uzyskiwania szczegółów ruchu.
Klasyczne IDS oparte na sygnaturach, takie jak Snort lub Suricata, są zamiast tego bardziej używane jako rzeczywiste IDS, tj. Koncentruje się na dopasowaniu konkretnych sygnatur ataków. Na przykład Cisco dostarcza swoim subskrybentom nowe sygnatury, gdy pojawiają się nowe ataki. Ale znam również kilka przypadków, w których Snort lub Suricata są używane tylko do zbierania informacji o ruchu i przesyłania tych szczegółów do większego systemu, podobnie jak zwykle używa się Zeeka.
Innymi słowy: nakładające się funkcje. Ale główne cele tych narzędzi są różne i dlatego też są to przypadki użycia.
Odpowiedź
Oba są NIDS ( Systemy wykrywania włamań sieciowych). Główną różnicą jest sposób, w jaki dokonują wykrywania, na przykład w przypadku parsknięcia, wykrywanie odbywa się wewnątrz oprogramowania przy użyciu reguł. Z drugiej strony, Bro / Zeek działa poprzez zrzucanie informacji o plikach i musisz wykonać wykrywanie za pomocą innych narzędzi, jednak myślę, że możesz stworzyć wtyczki w Lua, które mogą oznaczać rozmowy sieciowe, jak chcesz. Prawdopodobnie jest więcej różnic (licencja, pliki formatów itd.), Ale w tej chwili to właśnie przyszły mi do głowy.
Komentarze
- dziękuję za odpowiedź. Ale ' interesują mnie bardziej szczegółowe rzeczy. Może zeek może wykryć rodzaje ataków, których nie potrafi prychać? A może wymaga mniej zasobów?
- @ustavsaat, jakie ataki chcesz wykryć? To może pomóc Ci znaleźć " odpowiednie narzędzie do tego zadania " lub poprosić kogoś o zasugerowanie czegoś, czego nie masz ' nie jest uważane za takie jak RITA .