Încerc să găsesc diferența dintre Zeek și Snort 3. Poate cineva să-mi spună care sunt avantajele lui Zeek împotriva Snort 3?
Răspuns
Snort este mai degrabă un IDS / IPS tradițional care face o inspecție profundă a pachetelor și apoi aplică semnături pe traficul pentru a detecta (și poate bloca) atacurile.
Zeek nu pretinde că este un IDS: în schimb, pretinde că este un monitor de rețea și un analizor de trafic. De la propria lor descriere :
Zeek este un analizor pasiv de rețea open-source. Este în primul rând un monitor de securitate care inspectează în profunzime tot traficul de pe un link pentru a detecta semne de activitate suspectă. Cu toate acestea, în general, Zeek acceptă o gamă largă de sarcini de analiză a traficului chiar și în afara domeniului de securitate, inclusiv măsurători de performanță și ajutor în depanarea problemelor.
Din câte știu eu (adică ceea ce am obținut din discuțiile cu alții) Zeek este, prin urmare, mai folosit pentru a capta detaliile traficului și a le transmite către un sistem de analiză. Analiza privind atacurile se face în primul rând în afara Zeek, iar accentul pentru Zeek se pune pe colectarea de informații detaliate despre trafic. Uneori se adaugă disectoare de protocol personalizate, care sunt specifice protocoalelor utilizate în mediu. Cred că Bro / Zeek este folosit, de exemplu, în Darktrace pentru a obține detalii despre trafic.
IDS bazate pe semnături clasice, cum ar fi Snort sau Suricata, sunt folosite mai degrabă ca IDS reale, adică accentul se pune pe potrivirea semnăturilor specifice de atac. De exemplu, Cisco oferă abonaților săi noi semnături atunci când apar noi atacuri. Dar știu, de asemenea, mai multe cazuri în care Snort sau Suricata sunt folosite doar pentru a colecta informații despre trafic și pentru a alimenta aceste detalii de trafic într-un sistem mai mare, similar cu modul în care Zeek este de obicei folosit.
Cu alte cuvinte: există funcționalitate suprapusă. Dar obiectivele principale ale acestor instrumente sunt diferite și, prin urmare, sunt și cazurile de utilizare.
Răspuns
Ambele sunt NIDS ( Sisteme de detectare a intruziunilor în rețea). Principala diferență este modul în care fac detectarea, de exemplu, în snort, detectarea se face în interiorul software-ului folosind reguli. Pe de altă parte, Bro / Zeek funcționează aruncând informații despre fișiere și trebuie să faceți detectarea cu alte instrumente, cu toate acestea, cred că în bro puteți crea pluginuri în Lua care pot eticheta conversațiile de rețea după cum doriți. Probabil că există mai multe diferențe (licență, fișiere de format și așa mai departe), dar chiar acum acestea sunt cele care mi-au venit în minte.
Comentarii
- mulțumesc pentru răspuns. Dar ' mă interesează lucruri mai specifice. Poate zeek poate detecta tipurile de atacuri pe care pufnitul nu le poate? Sau poate necesită mai puține resurse?
- @ustavsaat, ce atacuri te interesează să detectezi? Acest lucru vă poate ajuta să găsiți " instrumentul potrivit pentru job " sau să determinați pe cineva să vă sugereze ceva pe care nu l-ați ' nu a fost luat în considerare, cum ar fi RITA .