
<div dir="ltr"><div>Hello,</div><div><br></div><div>From RC1 to RC2 the JA3 Hashing changed. Take a simple Firefox and the JA3 Hash from RC1 to RC2 changed while the application havent. Very easy to reproduce.</div><div><br></div><div>So its either Suricata doesnt extrack the info from the strings like the Salesforce method, or the TLS engine manipulate the JAE-strings, like a proxy or a simple bug where not all the strings are taken into account.</div><div><br></div><div>Protocol havent changed, still TLS 1.2 (771)<br></div><div><br></div><div>Cheers.</div><div><br></div><div>F.<br></div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Oct 16, 2018 at 7:49 AM Victor Julien <<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Suricata 4.1rc2 is ready for testing. We're hoping that this will be the<br>

final release candidate so that 4.1 can be released just before Suricon<br>

next month.<br>

<br>

Main new features are inclusion of the protocols SMBv1/2/3, NFSv4,<br>

Kerberos,FTP, DHCP, IKEv2, as well as improvements on Linux capture side<br>

via AF_PACKET XDP support and on Windows IPS side via WinDivert. The<br>

growth of Rust usage inside Suricata continues as most of the new<br>

protocols have been implemented in Rust.<br>

<br>

Most important change for going from RC1 to RC2 is that we have enabled<br>

Rust support by default. If Rust is installed, it will be used.<br>

<br>

Get the release here:<br>

<a href="https://www.openinfosecfoundation.org/download/suricata-4.1.0-rc2.tar.gz" rel="noreferrer" target="_blank">https://www.openinfosecfoundation.org/download/suricata-4.1.0-rc2.tar.gz</a><br>

<br>

<br>

*Protocol updates*<br>

<br>

SMBv1/2/3 parsing, logging, file extraction<br>

TLS 1.3 parsing and logging (Mats Klepsland)<br>

JA3 TLS client fingerprinting (Mats Klepsland)<br>

TFTP: basic logging (Pascal Delalande and Clément Galland)<br>

FTP: file extraction<br>

Kerberos parser and logger (Pierre Chifflier)<br>

IKEv2 parser and logger (Pierre Chifflier)<br>

DHCP parser and logger<br>

Flow tracking for ICMPv4<br>

Initial NFS4 support<br>

HTTP: handle sessions that only have a response, or start with a response<br>

HTTP Flash file decompression support (Giuseppe Longo)<br>

<br>

<br>

*Output and logging*<br>

<br>

File extraction v2: deduplication; hash-based naming; json metadata and<br>

cleanup tooling<br>

Eve metadata: from rules (metadata keyword) and traffic (flowbits etc)<br>

Eve: new more compact DNS record format (Giuseppe Longo)<br>

Pcap directory mode: process all pcaps in a directory (Danny Browning)<br>

Compressed PCAP logging (Max Fillinger)<br>

Expanded XFF support (Maurizio Abba)<br>

Community Flow Id support (common ID between Suricata and Bro/Zeek)<br>

<br>

<br>

*Packet Capture*<br>

<br>

AF_PACKET XDP and eBPF support for high speed packet capture<br>

Windows IPS: WinDivert support (Jacob Masen-Smith)<br>

<br>

<br>

*Misc*<br>

<br>

Windows: MinGW is now supported<br>

Detect: transformation keyword support<br>

Bundled Suricata-Update<br>

Per device multi-tenancy<br>

<br>

<br>

*Major changes since 4.1rc1*<br>

<br>

Rust support is enabled by default<br>

Community Flow Id support (common ID between Suricata and Bro/Zeek)<br>

Updates and fixes for dealing with SegmentSmack/FragmentSmack<br>

Update Suricata-Update to 1.0.0rc2<br>

<br>

<br>

*Get paid to work on Suricata!*<br>

<br>

Enjoying the testing? Or want to help out with other parts of the project?<br>

We are looking for people, so reach out to us if you're interested.<br>

<br>

<br>

*Special thanks*<br>

<br>

Mats Klepsland, Jason Taylor, Maurizio Abba, Konstantin Klinger,<br>

Giuseppe Longo, Danny Browning, Hilko Bengen, Jacob Masen-Smith, Pascal<br>

Delalande, Travis Green, Christian Kreibich<br>

<br>

<br>

*Trainings*<br>

<br>

Check out the latest training offerings at<br>

<a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a><br>

<br>

<br>

*SuriCon*<br>

<br>

SuriCon 2018 Vancouver next month, you can still join!<br>

<a href="https://suricon.net/agenda-vancouver/" rel="noreferrer" target="_blank">https://suricon.net/agenda-vancouver/</a><br>

<br>

<br>

*About Suricata*<br>

<br>

Suricata is a high performance Network Threat Detection, IDS, IPS and<br>

Network Security Monitoring engine. Open Source and owned by a community<br>

run non-profit foundation, the Open Information Security Foundation<br>

(OISF). Suricata is developed by the OISF, its supporting vendors and<br>

the community.<br>

<br>

-- <br>

---------------------------------------------<br>

Victor Julien<br>

<a href="http://www.inliniac.net/" rel="noreferrer" target="_blank">http://www.inliniac.net/</a><br>

PGP: <a href="http://www.inliniac.net/victorjulien.asc" rel="noreferrer" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

---------------------------------------------<br>

_______________________________________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

<br>

Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>

Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a></blockquote></div>