Monday, June 08, 2009

IP Blacklisting Version 2 for Snort 2.8.4.1 available


I found myself with 9 hours to kill on an airplane ride this weekend so I coded up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two features I've been hearing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original IP Blacklisting patch I wrote. The first new feature was to be able to associate a name with a blacklist and have that name produced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event that Snort outputs. The second feature was to be able to load blacklists from external files so that very large blacklists could be maintained without having to modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort.conf file.

Both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se features are now available in version 2 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch. Direct loading of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address lists from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort.conf preprocessor directive is no longer supported, you have to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external files.

Here is a sample directive for snort.conf:


preprocessor iplist: blacklist dshield /etc/snort/dshield.blacklist \
       blacklist sourcefire /etc/snort/sourcefire.blacklist \
       whitelist /etc/snort/default.whitelist


And here is a sample blacklist file:

# This is a blacklist file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many like it but this one is mine
# Comments are supported
10.1.1.0/24 192.168.0.0/16  # I can do inline comments too and put
       # multiple CIDR blocks on one line
172.16.16.17/32
172.16.15.14/32             # Whatever you like


As per usual, bug reports and feature requests can be sent directly to me. I still haven't done any performance testing of this code so your mileage may vary. I'd be interested to hear of any comparisons of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance of this code vs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Emerging Threats blacklist.

Tested on Ubuntu, Fedora and OS X only so far.

You can get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch here:

http://www.snort.org/users/roesch/code/iplist.patch.v2.tgz



Technorati Tags:
, , , ,



Labels: , , , , ,

posted by Martin Roesch @ 11:46 AM   10 comments

Wednesday, May 13, 2009

IP Blacklisting for Snort 2.8.4.1 available


After a discussion on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort-users mailing list last week regarding using standard Snort rules to implement Reputation-based IP blocking in Snort (and how badly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance sucked) I decided to write some code to do it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "right way". The result is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "iplist" preprocessor, a module that supports IP Blacklisting and whitelisting via user-provided lists of known hostile IP addresses.

The internals of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Patricia Trie code from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 3.0 code tree to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary address lookup mechanism. Currently I'm only supporting IPv4 addresses although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 P-Trie code supports IPv6 addressing too.

This patch has been applied against Snort 2.8.4.1 only. I've tested
builds on OS X, Ubuntu and Fedora so far. It requires libdnet (or
dumbnet-dev for those of you on Debian-based distros) to build
properly. Check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 README file that comes with it for instructions
on patching it into your codebase. It supports inline blocking and
alerting but not Flexresp-style TCP reset session shootdowns.

Have a look and let me know what features you'd like or bugs you find.

This code is purely EXPERIMENTAL, this is just me spending some of my
spare time doing a fun coding project so if your machine sprouts legs
and refuses to work until it receives part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TARP bailout it's
not my fault.

Here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link:

http://www.snort.org/users/roesch/code/iplist.patch.tgz


Technorati Tags:
, , , ,


Labels: , , , , ,

posted by Martin Roesch @ 3:45 PM   12 comments

Sunday, April 19, 2009

RSA 2009

I'll be out at RSA in San Francisco all this week. I'm speaking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 America's Growth Capital conference tomorrow at 2:30 on "Snort and The Future of Real-Time Adaptive Network Security". Wednesday I'll be doing a Peer2Peer talk at RSA on "The Future of Snort", primarily focusing on Snort 3.0 and upcoming changes to snort.org.

For those of you attending RSA I hope to meet you out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re!

Labels: ,

posted by Martin Roesch @ 2:00 PM   0 comments

Thursday, April 02, 2009

Snort 3.0 Beta 3 Released


It's been quite a while since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last Snort 3.0 beta and yesterday we released Beta 3. The reason that it's taken so long to get out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door is that we decided to start doing performance analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 2.8.x analytic engine that was ported over to run on top of SnortSP and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results were... interesting.

When I started developing and designing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 3.0 architecture one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumptions that I based my design around was that multi-core computing environments were going to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norm racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exception in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platforms we'd target moving forward. With that in mind and knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical packet analysis load we place on machines with Sourcefire's applications I was looking to utilize CPU cycles more efficiently by performing common processing that happened for every packet (acquire/decode/flow/stream/etc) once and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n spreading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis (Snort/RNA/etc) across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cores in separate threads. This would allow us to perform parallel processing across analytic engines while only having to perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common processing tasks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all have to do once.

Snort_3_Arch_Threaded.png

This is great in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory and seemed like we'd see some real performance gains but when we started looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 2.8.3.x analytic engine that we put out in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original Beta release we saw that performance was not where we wanted it to be relative to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monolithic Snort 2.8.3.x architecture. Initially we thought that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance discrepancies were due to inefficiencies that were a byproduct of porting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monolithic Snort 2 packet processing engine to run in a threaded environment due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incorporation of things like thread-local storage (TLS). Lots and lots of analysis was done over several months, tons of optimizations were made by Russ Combs and Ron Dempster, Snort's run-time processing cycle was studied at length and at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance still wasn't where we wanted it.

Eventually we arrived at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance issues we were seeing were stemming from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way that modern Intel CPUs use and synchronize cache memory. If you'd like to see some more in-depth discussion on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel CPU caching architecture you should take a look at Gustavo's site and check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 articles on caching. The performance hangup we ran into really manifested itself as we tried to distribute traffic across cores on multiple physical dies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overhead incurred by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data transfers and cache coherency operations required by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cores was costing us lots of CPU cycles.

What has become apparent from performing our analysis and extensive experimentation is that data spreading across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current generation of multi-core Intel CPUs is not something that works well for real-time applications like IPS. Intel CPUs really seem to favor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more traditional load balancing approach that's been used successfully with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 2.x code base for years where independent processes are locked to separate cores and flows are unique to each respective process.

While we were exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance envelope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 3 code base we looked at a number of different data distribution architectures to move data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data source subsystem of SnortSP to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analytic engines (i.e. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 2.8.3 engine module). A model that we've found to work well is what we've come to call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "stacks model". The stacks model works a lot like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 2.x preprocessor subsystem but on a somewhat larger scale. Instead of running several analytic engines in separate threads with each thread locked to a CPU, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stacked model runs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engines in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one thread and calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m sequentially, passing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet stream from engine to engine. The stacks model is included in Beta 3 and is a compile-time option for running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Snort_3_Arch_Stacked.png

One model that we haven't benchmarked extensively is what I'll call a "single core multithreaded model" where we run one thread per analytic engine but lock cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same CPU core, eliminating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache coherency and sync overhead while paying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 price of heavier loading on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual CPU cores. This will be an area of furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r research down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road.

We are planning on standing up a public CVS server in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 near future to host cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 3 code so that we can foster better interaction with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source community.

The next big hurdles to get over with Snort 3 are development of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP stream management subsystem and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 3.0 analytic engine module. Stay tuned for more (and more regular) releases as we get rolling on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se subsystems.

Labels: , , ,

posted by Martin Roesch @ 4:24 PM   3 comments

Sunday, August 10, 2008

Snort 3.0 Architecture Series Part 3: The command shell


One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest user-facing changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 3 architecture is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inclusion of a user shell interface to interact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Up until now everything has been controlled strictly via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line interface at startup time and via signals sent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process. There are many reasons for going with a command shell that I detailed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first part of this series but basically since Snort is designed to be able to run continuously now it was essential to have a way to interact with it.

Upon starting SnortSP you are sent directly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command shell prompt.

[+] Loaded pcap DAQ
[+] Loaded file DAQ
[+] Loaded afpacket DAQ
[*] DAQ Modules Loaded...
[*] Loading decoder modules
[+] Loaded ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet
[+] Loaded null
[+] Loaded arp
[+] Loaded ip
[+] Loaded tcp
[+] Loaded udp
[+] Loaded icmp
[+] Loaded icmp6
[+] Loaded gre
[+] Loaded mpls
[+] Loaded 8021q
[+] Loaded ipv6
[+] Loaded ppp
[+] Loaded pppoe
[+] Loaded gtp
[+] Loaded raw
[*] Decoder initialized...
[*] Flow manager initialized...
[*] Data source subsystem loaded
[*] Engine manager initialized
Control thread running - 3082939280 (18555)
[*] Loading command interface
[!] Loading SnortSP command metatable
[!] Loading data source command metatable
[!] Loading engine command metatable
[!] Loading output command metatable
[!] Loading analyzer command metatable
Executing etc/snort.lua
   ,,_     -*> SnortSP! <*-
  o"  )~   Version 3.0.0b2 (Build 9) [BETA]
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/team.html
           (C) Copyright 2008 Sourcefire Inc.
snort>


If this is your first time running Snort you'll probably want to get help. Every subsystem in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 3 architecture has its own help function available as do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engine modules, if you ever get lost working with a module just invoke its object help function. For example:

snort> ssp.help()
[*] SnortSP Commands:
    help()
    set_log_level( [debug|info|notice|warn|error|critical] )
    shutdown()
  Available subsystems within SnortSP have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own help() methods:
    dsrc        - Data Source
    eng         - Dispatcher/Engine
    analyzer    - Analytics Modules
    output      - Output Modules
  For example: dsrc.help() will call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Source help function


As you can see, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top level module for SnortSP is called "ssp" and you can invoke its help function by calling it with a "ssp.help()" function. If you want to find out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data source subsystem's available functions simply call "dsrc.help()" and so on.

One cool thing: if your system has Readline support available cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lua interpreter will pick it up automatically and you'll have standard shell functionality available within SnortSP such as command history and command line editing.

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 covers a few things are happening. When a command is invoked in SnortSP cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a series of lookups performed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 src/platform/lua_interface.c file. Lua is really handy for wrapping C function calls, it's one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial reasons I went with it for Snort. Let's take a look at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simple functionality in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lua_interface.c file for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ssp.* commands.


static int set_log_level_wrap(lua_State *L) {
    int level;

    if (lua_isnumber(L, 1))
    {
        level = lua_tointeger(L, 1);
    }
    else
    {
        const char *name = (char *) luaL_checkstring(L, 1);
        if (name ==NULL) return 0;

        if (strcasecmp(name, "debug") == 0) level = S_LOG_DEBUG;
        else if (strcasecmp(name, "info") == 0) level = S_LOG_INFO;
        else if (strcasecmp(name, "notice") == 0) level = S_LOG_NOTICE;
        else if (strcasecmp(name, "warn") == 0) level = S_LOG_WARN;
        else if (strcasecmp(name, "error") == 0) level = S_LOG_ERROR;
        else if (strcasecmp(name, "critical") == 0) level = S_LOG_CRITICAL;
        else return 0;
    }
    log_set_current_log_level(level);
    level = log_get_current_log_level();
    S_INFO("Log level set to %s", log_level_to_string(level));
    return 0;
}

static int shutdown_wrap(lua_State *L) {
    stop_processing = 1;
    return 0;
}

static int platform_help_wrap(lua_State *L) {
    printf("[*] "PLATFORM_NAME" Commands:\n"
           "    help()\n"
           "    set_log_level( [debug|info|notice|warn|error|critical] )\n"
           "    shutdown()\n"
     "  Available subsystems within "PLATFORM_NAME" have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own help() methods:\n"
     "    dsrc        - Data Source\n"
     "    eng         - Dispatcher/Engine\n"
     "    analyzer    - Analytics Modules\n"
     "    output      - Output Modules\n"
     "  For example: dsrc.help() will call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Source help function\n");
    return 0;
}

static void platform_set_info(lua_State *L) {
    lua_pushliteral (L, "_COPYRIGHT");
    lua_pushliteral (L, "Copyright (C) 2008 Sourcefire Inc.");
    lua_settable (L, -3);
    lua_pushliteral (L, "_DESCRIPTION");
    lua_pushliteral (L, "Network Intrusion Prevention System command interface");
    lua_settable (L, -3);
    lua_pushliteral (L, "_VERSION");
    lua_pushliteral (L, PLATFORM_NAME" 0.1");
    lua_settable (L, -3);
}

static const struct luaL_reg platformlib[] = {
    {"help", platform_help_wrap},
    {"shutdown", shutdown_wrap},
    {"set_log_level", set_log_level_wrap},
    {NULL, NULL},
};

static int platform_dir_create_meta (lua_State *L) {
    luaL_newmetatable (L, METATABLE);
    /* set its __gc field */
    lua_pushstring (L, "__gc");
    lua_settable (L, -2);
    return 1;
}

static int luaopen_platform(lua_State *L) {
    platform_dir_create_meta(L);
    S_INFO("[!] Loading "PLATFORM_NAME" command metatable");
    luaL_openlib(L, PLATFORM_PROMPT, platformlib, 0);
    platform_set_info(L);
    return 1;
}


This code sets up a "metatable" in Lua which allows us to call functions from its root with dot notation. The call to bind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root name is a little hidden in this case, it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 luaL_openlib() call in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last function above. We ended up using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PLATFORM_PROMPT substitution due to our habit of renaming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole project periodically in its earlier days....

The array definition at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code listing shows how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keywords are being mapped to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. When you put it all togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, if you call "PLATFORM_PROMPT.help()" it maps that back to calling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform_help_wrap() function. If you're familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internals of Snort 1.x-2x you'll know that this mapping of keywords in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interpreter to function calls is very similar to how Snort's parser worked so it was a very comfortable transition for me. Add in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 validation and scripting that you can get from lua and you can do some really cool stuff!

Let's take a look at a sample lua function scripting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SnortSP architecture to demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power of this arrangement. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I wanted to do with SnortSP in its early days is test out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decoders to make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no huge flaws in any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m that would lead to crash, as you know Snort's decoders are "critical infrastructure" that must be fast and crash free, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is counting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. The function I wrote would allow a user to point Snort at a directory of pcap files and process each one sequentially until every file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory had been processed.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old days we would have had to start a new instance of Snort (2.x) for each file we wanted to process and take all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to load and shutdown. In SnortSP you could (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory) load a detection configuration and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n process each file, all without having to restart. The way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function is setup right now it just processes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file and prints cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet dump to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen. Here's a listing.

require"lfs"     # load filesystem functions

function rundir (path, mask)  # args are path to pcap files, filename mask
    once = 0      # initialize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data source once only
    for file in lfs.dir(path) do  # grab cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path
        if string.match(file, mask) ~= nil cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n # find files that match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mask
            print("Processing File "..path..'/'..file)
            if(once == 0) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n   # setup cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dsrc params once only
                once = 1
                dsrc1 = {name="src1",
                     type="pcap", 
                     intf="file", 
                     filename=path..'/'..file,
                     flags=1,
                     snaplen=0,
                     maxflows=16384,
                     maxidle=10,
                     flow_memcap=10000000,
                     display="max"}
                dsrc.new(dsrc1)  # instantiate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dsrc once only
                eng.new("e1")  # instantiate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dispatcher once only
                eng.link({engine="e1", source="src1"}) # link dsrc to dispatcher
                print("Starting engine")
                eng.start("e1")  # run it
            else
                eng.run_file("e1", path..'/'..file)   # just fun cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file now
            end
        end
    end
    if(once == 1) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n     # process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last file too
        eng.run_file("e1", "")
    end
end


The first thing happening here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inclusion of a Lua library called "lfs". That's necessary for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem interface, Lua doesn't ship with one natively. (I know.) After that it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function definition which takes two arguments, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pcap files and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filename mask to use to select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory. The first iteration through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 config data structures and engine objects are instantiated and configured and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first file is processed, after that it just processes all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory.

This is pretty cool! Practically speaking you can script cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 startup and shutdown of Snort and script cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operation of all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different system objects as well. For example, you can make external system calls to lookup runtime parameters like interface configuration or available memory and use that information to tune your runtime configuration parameters of your engine. You can also script testing new software modules or even get into more crazy stuff like automatically turning engine modules on and off at certain times of day or pretty much anything else you can imagine.

This is just a brief tour of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's more that can be done! I'll leave it to interested readers to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SnortSP command shell and I'd love to hear about interesting things you do with it.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 series I'll start writing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data source subsystem and its components.

Labels: , , , ,

posted by Martin Roesch @ 4:06 AM   8 comments

Thursday, August 07, 2008

Snort 3.0 Architecture Series Part 2: Changes and Betas

Things have changed a bit in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 3.0 world since my last post so I thought I'd provide an update as a foundation for moving forward with this "series". I promise it'll be more than one article!

In Part 1 I discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 3.0 technology and since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been some changes. The largest change has been organizational in nature. We've decided to name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core system framework apart from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall project since you can do more than just Snort-style intrusion detection with it. So, as a result from now on we'll be calling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software framework SnortSP (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort Security Platform) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engines will be named separately. The overall architectural umbrella that this all lives under is still going to be called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Snort 3 Architecture" and it will consist of different software components, chief among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m will be SnortSP and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engine modules that utilize it.

Here's a handy reference diagram:

SnortSP engine block diagram.jpg


Ok, now that that's out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, let's talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beta. On June 30th we released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial beta of SnortSP & cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 2.8.2 Engine to open source beta. It's located at http://www.snort.org/dl/snortsp. To date we have done three releases of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code base with progressive versions nailing down loose ends and fixing compilation issues and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like.

We would love any feedback that people have on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 betas, if you're a Snort fan you should definitely check it out and start getting your feet wet, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of Snort!

For my next post I'll be spending some time talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SnortSP command shell and some neat stuff you can do with it!




Technorati Tags:
, , , ,


Labels: , , , ,

posted by Martin Roesch @ 4:45 PM   1 comments

Thursday, November 08, 2007

Snort 3.0 Architecture Series Part 1: Overview

Snort 3.0 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next generation Snort engine that is currently under active development at Sourcefire. I have been acting as lead architect as well as a contributing developer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project for many months now. As one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who's driving development of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I thought it would be worthwhile to start talking about what we're building because I know a lot of people are interested in learning more about this next generation Snort engine.

Snort is 9 years old this month and has a lot of miles under its belt. It's one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most widely deployed network security technologies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world and is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most highly exposed (in terms of live network packets processed) and well tested IDP code bases available today. Snort 3.0 is a huge undertaking but I feel its a worthwhile effort to achieve some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term goals that we have for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engine. I believe that ultimately our users will benefit tremendously from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 design of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new engine and that it will be a platform that will work well for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 9 years.

There are several goals associated with Snort 3.0's development:

0) Rewrite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core frameworks for Snort from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground up to clean out code base cruft and leverage external libraries where possible to contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rewrite. This will also allow us to flush unused features and effectively reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size and complexity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code base making it easier to extend and ultimately lending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security benefits of a smaller code base.

1) Build an "contextually aware engine", one that has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to understand what it's defending built around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of network context. Network context is essentially data about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment that is being defended by Snort, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 composition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local network composition. This is important in Snort 3 in order to:
  • Reduce/simplify/eliminate tuning as much as possible leveraging network context.

  • Generate event priorities based on network context.

  • Address network and transport layer evasion by leveraging network context.

2) Abstract and compartmentalize Snort's subsystems to make components "separable".
  • Compartmentalize common functionality that any network traffic analysis application would need to enable Snort to be a more effective platform for building arbitrary network traffic analyzers.

3) Improve support for protocol encapsulation within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall engine architecture to make handling things like enterprise/WAN protocols and IPv6 support more natural.

4) Add an interactive shell to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system so that it may be more fully orchestrated at runtime.

5) Multithread cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engine to take better advantage of multi-core platforms that are standard today.
  • Make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engine parallalizable so that multiple analytics threads may run simultaneously on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same traffic.

6) Normalize Snort's language so that it's easier to read and write.

Snort3BlockDiagram.png


As a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se goals cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engine architecture has a number of major discrete software components.

1) Data Source. The Data Source component encapsulates common functionality required by any network traffic analyzer, functions that will have to be performed prior to running almost any analysis task. The data source incorporates a number of components including:
  • Data Acquisition (DAQ) - The DAQ provides an interface between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engine and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host OS packet facilities. This is where we get packets from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying hardware and where we talk to that hardware regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disposition of those packets. The DAQ subsystem allows Snort 3.0 to incorporate arbitrary external packet interfaces including things like libpcap, IPQ and divert sockets.

  • Decoder - The Decoder performs basically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same tasks it did in Snort 2.x. Validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packets, detect protocol anomalies and provide a referential structure for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program to operate upon.

  • Flow Manager - The Flow Manager provides services for tracking conversations between endpoints on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. In Snort 3.0 it also contains features for "fastpathing" traffic, allowing it to pass straight through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engine in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analytics modules have decided that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're not interested in a particular flow any longer. Snort 3.0 also includes a mechanism called "flow slots" that subsystems can use to store stateful "flow local" information. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place that things like flowbits will get stored in Snort 3.0.

  • IP Defragmenter - This module provides services for putting IPv4 and IPv6 packets back togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and will include mechanisms to allow for target-based fragment reassembly.

  • TCP Stream Reassembler - As with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP Defragmenter, provides target-based services for reassembling TCP segments into normalized streams and presenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying analytics.

  • Data Source API - An abstraction API between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facilities provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data source and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 3.0 software framework. This API exists to that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of Snort 3.0 can work without caring whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Source is implemented as hardware or software.

2) Action System. The Action System handles event queuing, notification and logging when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system fires events. The supported output types in Snort 3.0 will be text (console), syslog and Unified 2, a serialized binary stream format.

3) Attribute Management System (AMS). The AMS will store network contextual data about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational environment being defended by a particular Snort instance. This subsystem will be addressable continuously at runtime and provide interactive interfaces to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command shell as well as analytics modules that can leverage its data. The inclusion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AMS will make all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals in section 1 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals section attainable.

4) Analytics System. The Analytics System is where Snort detection engine threads will be located. The idea in Snort 3.0 is to put all detection logic in analytics modules that run as separate threads, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r code exists to support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Analytics System. Multiple threads may operate on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data coming from a dispatcher instance simultaneously. The Analytics System is structured so that all interaction between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analytics modules and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 3.0 framework is brokered by an API called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Snort Abstraction Layer" (SAL). Note that arbitrary functions may be performed by analytics modules in a given runtime instance. For example cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sourcefire edition of this engine is going to include RNA's functionality as an analytics module running side-by-side with Snort 3.0.

5) Dispatcher. The Dispatcher exists to coordinate information flow between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different components of Snort 3.0 and to manage traffic queuing and disposition across analytics threads. It also ties togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 objects in a runtime instance of a Snort engine, uniting data source, analytics, action system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attribute manager into a single manageable entity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of process and threat management from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command shell.

6) Snortd and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command shell. Snortd is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 daemon process that provides marshaling services for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 objects that are instantiated in a particular framework instance. The command shell also runs attached within a thread to snortd. The command shell provides interactive object management services for different software modules, runtime management of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process and threads, health management and a full scripting language for Snort 3.0. The command shell is running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lua scripting language, a lightweight embeddable scripting language that is fast and portable as well as being very nice for implementing Domain Specific Languages. If Snort's parser wasn't one of your favorite features in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past you should definitely like this change! For those of you wondering if Snort 3.0 will handle Snort's existing rules language, of course it will. We're not planning on throwing out 9 years of accumulated detection functionality!

The analytics modules that are under development right now (that I can discuss) include a Snort 2.x detection engine implementation, RNA (for Sourcefire implementations) and a Lua traffic analysis module for users who are in environments where a scripting interface to traffic analysis would be very useful.

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming days and weeks I am planning to post a subsystem by subsystem design overview of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engine components so that users of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system may familiarize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system as we prepare to release additional alpha code snapshots on our way to a Snort 3.0 beta!



Technorati Tags:
, , , ,


Labels: , , ,

posted by Martin Roesch @ 2:41 PM   14 comments