Версия v26.04

Теперь детектор адресной защиты может помечать трафик на IP-адреса, для которых на Collector обнаружено превышение порога, для этого требуется установить флаг «Применять активацию на основании детектирования коллектора» в карточке HPD и задать правила для коллектора трафика на странице «Правила детектирования».

В Журнале адресной активации теперь сохраняется не только факт активации механизма для конкретного IP-адреса, но также причина активации и правило, при его наличии.

instance_id,instance_name,created_at,action,dst_ip,reason,rule
1,Mitigator0,2022-09-02 10:44:31.53622 +0000 UTC,added,10.0.2.254,LimitBps,BITS 200 ACL udp
1,Mitigator0,2022-09-02 10:44:41.51245 +0000 UTC,added,10.0.2.254,UntrustedSource,

Добавлены пороги <element>.TestMode.*, которые управляют тестовым режимом работы контрмеры. Логика их работы идентична логике работы порогов без TestMode в названии, кроме нюансов именования:

• Для двусторонних порогов, как правило, выполняется соотношение Xxx.TestMode.Yyy.On < Xxx.TestMode.Yyy.Off, потому что тестовый режим имеет смысл отключать при превышении порога, а включать, когда трафик опускается ниже определенной отметки.

• В наборах Diff-порогов по абсолютному изменению за такт вместо OffFactor и OffMin* присутствуют OnFactor и OnMin*, имеющие тот же смысл, но применительно к включению тестового режима.

• В наборахRatio-порогов по относительному изменению за такт, Xxx.TestMode.Yyy.Ratio.On < Xxx.TestMode.Yyy.Ratio.Off, потому что тестовый режим имеет смысл отключать при резком росте трафика.

В Общую защиту IPv4 и IPv6 добавлен автоматический захват пакетов, аналогичный автозахвату в политиках защиты.

Теперь на графиках политики защиты можно увидеть кривые для трафика из внутренней сети, ассоциированного с данной политикой.

Включение подсчета трафика из внутренней сети для отображения на графиках выполняется на странице «Общие параметры» в настройках системы и влияет на все политики защиты.

Теперь при проверке SYN+ACK пакетов можно выбрать режим обработки без учета Timestamp.

Так как не все серверы отправляют Timestamp, проверку можно отключить, установив флаг «Без timestamp» в настройках синхронизации параметров сессии для конкретного сервера. Параметр применяется на все серверы, которые перечислены в строке. Если нужно применить только для одного, то нужно вынести его в отдельную запись. Если агент синхронизации используется в нескольких политиках защиты, и хотя бы в одной из них параметр «Без timestamp» задан, то будет применяться во всех политиках.

Из публичного API BPF-программ удалены функции работы с VLAN ID. Если эти функции использовались в ваших программах для BPF, при их пересборке с новым заголовком mitigator_bpf.h необходимо добавить эти функции в исходный код программы:

#define VLAN_ID_MASK 0x0fff

/** @brief Get VLAN ID from 802.1q header. */
LOCAL uint16_t
vlan_get_id(const struct VlanHeader* vlan) {
    return bswap16(vlan->control) & VLAN_ID_MASK;
}

/**
 * @brief Set VLAN ID in 802.1q header.
 *
 * If you don't need to keep rarely used DEI and PRI, a faster alternative is:
 * @code
 * vlan->control = bswap16(id);
 * @endcode
 */
LOCAL void
vlan_set_id(struct VlanHeader* vlan, uint16_t id) {
    uint16_t bits = vlan->control & ~bswap16(VLAN_ID_MASK);
    vlan->control = bswap16(bswap16(bits) | id);
}

Теперь на графиках контрмеры отображается количество сессий, наблюдаемых как внутри окна глубины игнорирования последних сессий, так и за его пределами:

• USF Allowed sessions – число отслеживаемых сессий, которые наблюдались за пределами окна глубины игнорирования последних сессий;

• USF Ignored sessions – число отслеживаемых сессий, которые наблюдались только внутри окна глубины игнорирования последних сессий.

Теперь можно задать разные значения семплирования sFlow для разных скоростей трафика. При превышении установленного порога скорости значение семплирования изменится автоматически. Можно задать до четырех значений семплирования для различных диапазонов скоростей трафика.

На страницу «Источники Flow» добавлена вкладка «Соотношение Flow/SNMP», на которой отображается статистика по трафику на всех интерфейсах источника, полученная по Flow и SNMP.

На вкладке также задается «Допустимое отклонение», определяющее, насколько отношение величин средней скорости трафика, полученной по Flow к полученной по SNMP, может отличаться от единицы. Например, при допустимом отклонении 10% нормальным считается значение отношения в диапазоне от 0.9 до 1.1.

Если отклонение в соотношении значений средней скорости трафика, полученных по Flow, к полученным по SNMP превышает допустимое, это может означать, что система настроена некорректно, либо данные не поступают. Для таких интерфейсов в строке появляется соответствующая индикация.

Теперь в колонке «Статус» таблицы интерфейсов источника Flow у интерфейса отображается один из трех статусов по данным из SNMP:

• статус интерфейса UP;
• статус интерфейса DOWN;
• статус интерфейса неизвестен.

Теперь в правилах для компонентов request, referer и user-agent можно указывать отрицание через ключевое слово “not”.

Примеры:

# Заблокировать на 300 секунд IP-адрес, запросивший у web-сервера любой URI кроме
# `/api/some/magic/uri`:

block 300 not request /api/some/magic/uri

# Заблокировать на 600 секунд IP-адрес, с которого поступил
# запрос, содержащий в заголовке User-Agent любое значение кроме 123:

block 600 not user-agent 123

# Создать запись в журнале событий в случае получения от IP-адреса 
# запроса, содержащего в заголовке Referer любое значение кроме "^https://domain":

alert not referer "^https://domain"

При активации функции «GRE-туннель со сторонним сервисом» в настройках экземпляра обработка GRE-трафика по умолчанию выполняется только на одном ядре CPU. Если флаг установлен, будет выполняться балансировка между всеми ядрами. Настройка применима только, если используются сетевые карты Mellanox, для других сетевых карт настройка игнорируется.

Ранее параметры pgfailover задавались в command: сервиса pgfailover в файле docker-compose.failover.yml. При обновлении файла пользовательские изменения приходилось переносить вручную.

Теперь параметры pgfailover задаются переменными окружения в .env, а нестандартный список серверов — в docker-compose.override.yml. При будущих обновлениях достаточно будет просто скачать актуальный docker-compose.failover.yml.

Теперь в параметрах именованного списка можно указать пользовательские HTTP-заголовки и их значения, например, для подтверждения авторизации при получении данных из источника с типом HTTP.

Ранее вкладки сортировались в алфавитном порядке, теперь нажав на кнопку «Изменить порядок вкладок», можно перемещать вкладки.

Для повышения удобства задания порогов и упрощения восприятия уже заданных добавлена возможность изменять десятичные приставки при указании значения.

В качестве эксперимента, в текущий момент функциональность добавлена в HPD, BPF, LIM и TAP-интерфейс, в дальнейшем планируем распространить изменение на все остальные механизмы и контрмеры.

Теперь во всех элементах интерфейса, где указывались дата и время выполнения действия, порядок указания одинаков: yyyy-mm-dd HH:MM:SS.