Snort для блокирования сайтов - У нага - Форумы NAG.RU

Jump to content

Existing user? Sign In
Sign In

Remember me Not recommended on shared computers

Forgot your password?

Войти через VK
Sign Up

Калькуляторы

All Activity

Snort для блокирования сайтов

Reply to this topic

Robot_NagNews

Robot_NagNews

Posted July 27, 2016

Материал:

Возможно, я не умею готовить URL-DB, но фильтрация средствами SCE давала сбои, к тому же, мы начали вылазить за пределы ее возможностей (обеих, имеющихся). Я решил попробовать Snort, и получил эффективность выше, чем у SCE. Параллельно брали на тест СКАТ, рассматривали как замену SCE по нарезке скорости.

Полный текст

Share this post

Link to post

Share on other sites

MATPOC

MATPOC

Posted July 27, 2016

В определенных трудах в интернете утверждается, что с libpcap старых версий позволяет выдавить 200-500Мбит/с через фильтр.

Linux PF_RING - 10 Gbit Hardware Packet Filtering using commodity network adapters

Share this post

Link to post

Share on other sites

Alex_Sor

Alex_Sor

Posted July 27, 2016 (edited)

Может будет Вам в тему:Ускорение анализатора сетевого трафика Snort при помощи библиотеки Hyperscan + Netmap-ipfw (вроде pavel.odintsov удалось его как то "укротить")

Суриката тоже поддерживает данную библиотеку, и вроде уже неплохо "параллелиться" + фишки SSL/TLS

Edited July 27, 2016 by Alex_Sor

Share this post

Link to post

Share on other sites

mikevlz

mikevlz

Posted July 27, 2016

Как автор и исследователь могу сказать: смотрел сурикату, думал, поможет.

У сурикаты есть два сильных недостатка.

1. У нее паттерн-матчинг сильно хуже снорта(есть в интернетах исследование эффективности)

2. У нее нет активного ответа. То есть мы можем просто дропнуть пакеты запроса, а сообщить пользователю, что за ним уже выехали - не можем. Так не пойдет.

Про гиперскан - можно попробовать в порядке эксперимента, спасибо, не знал про нее. Собирать из исходников несложно. Можно будет еще посмотреть, не отломался ли эктив-респонс на 2.9.8 снорте.

Share this post

Link to post

Share on other sites

Alex_Sor

Alex_Sor

Posted July 27, 2016

В порядке "фантазии", раз у вас в сервере 4 "дырки", собрать с помощью свитча(lacp, balancing) два моста параллельно и на каждом запустить по копии снорта(shared rules, ресурсы и т.п.), разнести по ядрам cpu, ну т.д. и т.п.? в гугле "snort multiple cores/snort multiple instances" на одной машине, нет?

Share this post

Link to post

Share on other sites

Ivan_83

Ivan_83

Posted July 27, 2016

2. У нее нет активного ответа. То есть мы можем просто дропнуть пакеты запроса, а сообщить пользователю, что за ним уже выехали - не можем. Так не пойдет.

Ну уж это то прикрутить не сложно должно быть.

Share this post

Link to post

Share on other sites

Dimonyga

Dimonyga

Posted July 28, 2016

У меня стоит SURICATA, сам дописывал аналог REACT (хардкодом, криво и мне за это стыдно, но работает), работает не только у меня но и у нескольких людей. Сейчас стоит в режиме AF-PACKET но буду переделывать на NFQ + baypass, из за бэйпасса собственно.

Вот ссылка на доработку, возможно в будущем причешу и сделаю пулл реквэст

https://www.linux.org.ru/forum/admin/12008608#comment-12211597

Хотелось бы уточнить по поводу парсера и генератора правил, поделитесь пожалуйста, а то я устал уже воевать с кривостями реестра.

Share this post

Link to post

Share on other sites

mikevlz

mikevlz

Posted July 28, 2016

У меня стоит SURICATA, сам дописывал аналог REACT (хардкодом, криво и мне за это стыдно, но работает), работает не только у меня но и у нескольких людей. Сейчас стоит в режиме AF-PACKET но буду переделывать на NFQ + baypass, из за бэйпасса собственно.

Вот ссылка на доработку, возможно в будущем причешу и сделаю пулл реквэст

https://www.linux.org.ru/forum/admin/12008608#comment-12211597

Сколько трафика пропускает через себя? У меня на DIVERT-трафике на 100Мбит/сек снорт дропал немножко много. До ютуба 5-13% потерь пингов(они тоже через снорт шли).

Хотелось бы уточнить по поводу парсера и генератора правил, поделитесь пожалуйста, а то я устал уже воевать с кривостями реестра.

Мне за него тоже стыдно, там костыли соплями и веревками перевязаны. По хорошему - надо переделать, чтобы сохранялся предыдущий стейт(слепок реестра), резолвить фоновым демоном, выгрузку автономно делать. Но переделывать возможно не буду, потому что ищем альтернативу, за деньги и без собственного геморроя.

Про парсер могу сказать, что подпилил roskombox(искать на гитхабе), добавил туда еще один тред с scapy в режиме захвата пакетов. Можно оттуда дергать GET-запросы, как они шлются по сети проверялкой.

Share this post

Link to post

Share on other sites

DemonS

DemonS

Posted July 28, 2016

А парсилку урлов можно взять у того же карбона. Там активация не потребуется.

Share this post

Link to post

Share on other sites

Dimonyga

Dimonyga

Posted July 28, 2016

Сколько трафика пропускает через себя? У меня на DIVERT-трафике на 100Мбит/сек снорт дропал немножко много. До ютуба 5-13% потерь пингов(они тоже через снорт шли).

Сейчас ДО 150 мегабит. Дропов ноль от слова совсем. Начинаются после 200 мегабит но небольшие. Если тему на лоре почитаете - я там выкладывал всё, в том числе и железо

Мне за него тоже стыдно, там костыли соплями и веревками перевязаны. По хорошему - надо переделать, чтобы сохранялся предыдущий стейт(слепок реестра), резолвить фоновым демоном, выгрузку автономно делать. Но переделывать возможно не буду, потому что ищем альтернативу, за деньги и без собственного геморроя.

Про парсер могу сказать, что подпилил roskombox(искать на гитхабе), добавил туда еще один тред с scapy в режиме захвата пакетов. Можно оттуда дергать GET-запросы, как они шлются по сети проверялкой.

Спасибо за наводку =) Про костыли соплями и веревками - это у многих так, реестр, мягко говоря, кусок фекалий. Особо радуют анкоры и домены с точкой в конце

Самые главные фичи сурка - обработка TLS и многопоточность. Эксперименты со снортом не увенчались успехом. тормозной он.

Share this post

Link to post

Share on other sites

ne-vlezay80

ne-vlezay80

Posted July 30, 2016

А ещё суриката не умеет собирать и анализировать фрагментированные пакеты (TCP Reassembly). У снорта с этим проблем нет!

Также у сурикаты непонятно как работает инспектирование http

Share this post

Link to post

Share on other sites

Dimonyga

Dimonyga

Posted July 30, 2016

А ещё суриката не умеет собирать и анализировать фрагментированные пакеты (TCP Reassembly). У снорта с этим проблем нет!

Также у сурикаты непонятно как работает инспектирование http

Уважаемый, я уже прекрасно знаю что вы не осилили сурка. Пожалуйста не вводите людей в заблуждение. У сурка с этим дела обстоят замечательно.

Share this post

Link to post

Share on other sites

ne-vlezay80

ne-vlezay80

Posted August 1, 2016

Незнаю, сне snort больше понравился.

Про сборку пакетов в сурке я информацию в интернете толком не нашёл. Приведите свои примеры.

Это скорее зависит от версии сурка

Кстати снорт автоматом опознаёт протоколы. По этому он работает медленнее.

Но, это его плюс.

Share this post

Link to post

Share on other sites

ichthyandr

ichthyandr

Posted September 16, 2016

А зачем инлайн мод?? В режиме IDS прекрасно ответы отправляет

Share this post

Link to post

Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest

Reply to this topic...

× Pasted as rich text. Paste as plain text instead

Only 75 emoji are allowed.

× Your link has been automatically embedded. Display as a link instead

× Your previous content has been restored. Clear editor

× You cannot paste images directly. Upload or insert images from URL.

Insert image from URL

×

Followers 0

Go to topic listing У нага