Документация MITIGATOR > Новое в версиях MITIGATOR > Версия 22.02

Версия 22.02

В версии v22.02 добавлено журналирование содержимого таблиц аутентифицированных адресов, режим работы с синхронизацией параметров ISN в MINE, рассылка изменений журнала TBL по syslog. Изменена работа контрмер ATLS, HTTP, SIP, SOUR, DNS в тестовом режиме. Расширены функциональность механизма захвата пакетов, добавлена возможность указания отдельных L3-настроек для каждой пары VLAN и переработано взаимодействие по протоколу BGP.
Добавлена новая контрмера PLIM. Переименована контрмера DLIM6. Расширена функциональность контрмер ACL, SLOB.

Изменения версии v22.02

RETR. Добавлено журналирование аутентифицированных адресов.

Теперь журналируются IP-адреса, добавленные в таблицу аутентифицированных, и время добавления. Это может быть полезно для:

отслеживания адресов пользователей сервиса для последующего анализа, в том числе чтобы иметь возможность вынести эти адреса в отдельную политику защиты или поместить их в WL;
выявления атакующих адресов в ручном режиме, когда по времени начала атаки можно получить список IP-адресов ботов, прошедших аутентификацию, и заблокировать их.

Например, контрмера RETR настроена таким образом, чтобы добавлять в таблицу аутентифицированных IP-адреса отправителей, от которых за одну секунду получено более одной UDP-датаграммы с содержимым, попадающим под регулярное выражение ^\00\xff.(42)$. Трафик с неаутентифицированных адресов сбрасывается.

На графике видно, что в момент атаки в таблицу аутентифицированных добавлялись атакующие адреса. Если просмотреть журнал за время начала атак, то можно предположить, что пересекающиеся IP-адреса являются атакующими.

RETR6. Добавлено журналирование аутентифицированных адресов.

MINE. Добавлен режим работы с синхронизацией параметров ISN.

В режиме синхронизации параметров ISN на все запросы статуса защищаемого сервера всегда отвечает MITIGATOR, что позволяет защититься от атак запросами статуса сервера.

MINE. Добавлено журналирование аутентифицированных адресов.

PLIM. Добавлена новая контрмера «Ограничение трафика на префикс».

В общую защиту IPv4 на выходе системы добавлена новая контрмера «Ограничение трафика на префикс». В отличие от DLIM, которая ограничивает скорость трафика на конкретный адрес получателя, контрмера PLIM позволяет задать ограничение на префикс. Ограничения могут быть заданы на скорость в пакетах в секунду или битах в секунду, а также одновременно двумя способами.

ATLS. Добавлено журналирование аутентифицированных адресов.

ATLS. Изменено поведение контрмеры в тестовом режиме политики.

В тестовом режиме работы контрмеры работают все проверки и сбор JA3-отпечатков.

TCP. Добавлено журналирование аутентифицированных адресов.

MCR. Добавлено журналирование аутентифицированных адресов.

DNS. Добавлено журналирование аутентифицированных адресов.

DNS. Изменено поведение контрмеры в тестовом режиме политики.

В тестовом режиме работы контрмеры на графиках отображаются сброс валидатора и счетчик dns-запросов.

HTTP. Добавлено журналирование аутентифицированных адресов.

HTTP. Изменено поведение контрмеры в тестовом режиме политики.

На графике отображается количество HTTP-запросов.

SIP. Добавлено журналирование аутентифицированных адресов.

SIP. Изменено поведение контрмеры в тестовом режиме политики.

В тестовом режиме работы контрмеры на графике отображается сброс лимитера по числу запросов и сброс валидатора.

SOUR. Изменено поведение контрмеры в тестовом режиме политики.

На графиках отображается сброс если пакет не соответствует протоколу или адрес получается не находится в списке серверов.

SLOB. Добавлена возможность блокировать IP-адрес, отправляющий трафик со скоростями, меньше разрешенных.

Теперь контрмера может проверять, что средняя скорость трафика в рамках отслеживаемого соединения не опускается ниже допустимого уровня. Если скорость передачи данных мала, то соединение сбрасывается, а для IP-адреса отправителя фиксируется нарушение.

ACL. Изменено максимальное количество правил.

Теперь в контрмере можно задать до 524288 правил.

DLIM6. Переименована контрмера «Ограничение трафика на IP-адрес получателя» [DLIM6] в «Ограничение трафика на префикс» [PLIM6].

PCAP. Добавлена поддержка множества правил со SKIP и TAKE в фильтре захвата по правилам фильтрации.

PCAP. Добавлена возможность отправки результатов захвата в Telegram.

Теперь захваченные пакеты могут быть отправлены пользователю через мессенджер Telegram как в ручном так и в автоматическом режимах.

Deploy. Добавлена возможность указания отдельных L3-настроек для каждой пары VLAN в режиме L3-router On-a-stick.

Поддержана схема интеграции в сеть, при которой в режиме L3-router On-a-stick трафик доставляется через множество пар VLAN с независимой адресацией.

Deploy. Добавлена возможность ручного указания MAC-адресов при настройке интеграции в сеть в режиме L3-router.

Notifications. Добавлена возможность отправки журнала изменений списка временно заблокированных IP-адресов по syslog.

Теперь журнал изменений списка IP-адресов, заблокированных контрмерой «Временная блокировка по IP-адресу отправителя», может рассылаться через syslog. Если отправка включена и произошло изменение журнала, список добавленных и удаленных IP-адресов будет разослан через все активные рассылки карточки «Рассылка сообщений через syslog».

BGP. Добавлена возможность указания индивидуального next-hop для каждого списка префиксов в политике анонса.

BGP. Механизм взаимодействия по BGP выделен в отдельную подсистему.

Теперь для взаимодействия по протоколу BGP будет использоваться отдельная подсистема на базе GoBGP-демона. Мониторинг состояния и поиск неисправностей теперь доступны через CLI GoBGP.

API. Добавлена возможность задавать произвольные мета-данные в формате json к сущностям «Экземпляр», «Политика защиты» и «Группа».

С помощью REST API стало возможным задавать для сущностей в поле meta дополнительную информацию в формате JSON с произвольным набором пар ключ:значение. Подробное описание в документации по REST API.