Многопоточный IDS/IPS нового поколения — 107 новых правил обнаружения и 8 новых протоколов в одном релизе.
«Suricata не просто обнаруживает атаки — в режиме IPS она их блокирует в реальном времени, не пропуская ни пакета.»
Suricata — высокопроизводительный движок обнаружения и предотвращения вторжений с открытым исходным кодом. В отличие от устаревшего Snort, Suricata написана с нуля для использования всех CPU-ядер одновременно: многопоточная архитектура позволяет обрабатывать трафик на скоростях 10–100 Гбит/с на commodity-железе. Суricata поддерживает как IDS (мониторинг с алертами), так и IPS (инлайн-режим с блокировкой трафика).
В стеке IgNix Suricata работает в паре с PF и HAProxy: PF перенаправляет трафик через Suricata в IPS-режиме, после чего «чистый» трафик уходит к backend-серверам через HAProxy. Правила Emerging Threats (ET Open) обновляются автоматически через suricata-update. Malcolm использует Suricata как один из источников обнаружения в комбинации с Zeek — это даёт два независимых слоя детектирования в одном потоке трафика.
Версия 8.0 принесла революционные изменения: 107 новых detection keywords (+38%), 8 новых поддерживаемых протоколов (DNS-over-HTTPS, LDAP, WebSocket, POP3, mDNS, ARP и другие), переписанный LibHTP на Rust (безопасная память), и экспериментальный firewall mode — Suricata начинает брать на себя функции stateful firewall. Это уже не просто IDS, это платформа сетевой безопасности.
Килл-фичи:
Многопоточность — полное использование всех CPU-ядер, линейное масштабирование производительности до 100 Гбит/с
107 новых detection keywords — расширенный язык правил (+38%), более точное обнаружение без ложных срабатываний
8 новых протоколов (v8.0) — DoH, LDAP, WebSocket, POP3, mDNS, ARP и другие: видимость там, где раньше была слепая зона
Rustification LibHTP — безопасная память в парсере HTTP, закрытие целого класса CVE без патчей
IPS inline mode — реальное блокирование трафика через NFQUEUE/AF_PACKET, не только алерты
EVE JSON output — структурированные логи для интеграции с Elasticsearch, Kafka, Wazuh без парсеров
Lua scripting — кастомная логика детектирования для специфичных протоколов и атак
Что заменяет: Cisco Firepower (NGIPS), Palo Alto Threat Prevention, Snort, коммерческие IDS/IPS устройства
Версия: Suricata 8.0.4
Роль в стеке: Слой 5 — Безопасность / IDS/IPS