[Robot_NagNews]

Материал:

Возможно, я не умею готовить URL-DB, но фильтрация средствами SCE давала сбои, к тому же, мы начали вылазить за пределы ее возможностей (обеих, имеющихся). Я решил попробовать Snort, и получил эффективность выше, чем у SCE. Параллельно брали на тест СКАТ, рассматривали как замену SCE по нарезке скорости.

 

Полный текст

[MATPOC]

В определенных трудах в интернете утверждается, что с libpcap старых версий позволяет выдавить 200-500Мбит/с через фильтр.

Linux PF_RING - 10 Gbit Hardware Packet Filtering using commodity network adapters

[Alex_Sor]

Может будет Вам в тему:Ускорение анализатора сетевого трафика Snort при помощи библиотеки Hyperscan + Netmap-ipfw (вроде pavel.odintsov удалось его как то "укротить")

Суриката тоже поддерживает данную библиотеку, и вроде уже неплохо "параллелиться" + фишки SSL/TLS

Изменено 27 июля, 2016 пользователем Alex_Sor

[mikevlz]

Как автор и исследователь могу сказать: смотрел сурикату, думал, поможет.

У сурикаты есть два сильных недостатка.

1. У нее паттерн-матчинг сильно хуже снорта(есть в интернетах исследование эффективности)

2. У нее нет активного ответа. То есть мы можем просто дропнуть пакеты запроса, а сообщить пользователю, что за ним уже выехали - не можем. Так не пойдет.

 

Про гиперскан - можно попробовать в порядке эксперимента, спасибо, не знал про нее. Собирать из исходников несложно. Можно будет еще посмотреть, не отломался ли эктив-респонс на 2.9.8 снорте.

[Alex_Sor]

В порядке "фантазии", раз у вас в сервере 4 "дырки", собрать с помощью свитча(lacp, balancing) два моста параллельно и на каждом запустить по копии снорта(shared rules, ресурсы и т.п.), разнести по ядрам cpu, ну т.д. и т.п.? в гугле "snort multiple cores/snort multiple instances" на одной машине, нет?

[Ivan_83]

2. У нее нет активного ответа. То есть мы можем просто дропнуть пакеты запроса, а сообщить пользователю, что за ним уже выехали - не можем. Так не пойдет.

Ну уж это то прикрутить не сложно должно быть.

[Dimonyga]

У меня стоит SURICATA, сам дописывал аналог REACT (хардкодом, криво и мне за это стыдно, но работает), работает не только у меня но и у нескольких людей. Сейчас стоит в режиме AF-PACKET но буду переделывать на NFQ + baypass, из за бэйпасса собственно.

Вот ссылка на доработку, возможно в будущем причешу и сделаю пулл реквэст

https://www.linux.org.ru/forum/admin/12008608#comment-12211597

Хотелось бы уточнить по поводу парсера и генератора правил, поделитесь пожалуйста, а то я устал уже воевать с кривостями реестра.

[mikevlz]

У меня стоит SURICATA, сам дописывал аналог REACT (хардкодом, криво и мне за это стыдно, но работает), работает не только у меня но и у нескольких людей. Сейчас стоит в режиме AF-PACKET но буду переделывать на NFQ + baypass, из за бэйпасса собственно.

Вот ссылка на доработку, возможно в будущем причешу и сделаю пулл реквэст

https://www.linux.org.ru/forum/admin/12008608#comment-12211597

Сколько трафика пропускает через себя? У меня на DIVERT-трафике на 100Мбит/сек снорт дропал немножко много. До ютуба 5-13% потерь пингов(они тоже через снорт шли).

Хотелось бы уточнить по поводу парсера и генератора правил, поделитесь пожалуйста, а то я устал уже воевать с кривостями реестра.

Мне за него тоже стыдно, там костыли соплями и веревками перевязаны. По хорошему - надо переделать, чтобы сохранялся предыдущий стейт(слепок реестра), резолвить фоновым демоном, выгрузку автономно делать. Но переделывать возможно не буду, потому что ищем альтернативу, за деньги и без собственного геморроя.

Про парсер могу сказать, что подпилил roskombox(искать на гитхабе), добавил туда еще один тред с scapy в режиме захвата пакетов. Можно оттуда дергать GET-запросы, как они шлются по сети проверялкой.

[DemonS]

А парсилку урлов можно взять у того же карбона. Там активация не потребуется.

[Dimonyga]

Сколько трафика пропускает через себя? У меня на DIVERT-трафике на 100Мбит/сек снорт дропал немножко много. До ютуба 5-13% потерь пингов(они тоже через снорт шли).

Сейчас ДО 150 мегабит. Дропов ноль от слова совсем. Начинаются после 200 мегабит но небольшие. Если тему на лоре почитаете - я там выкладывал всё, в том числе и железо

Мне за него тоже стыдно, там костыли соплями и веревками перевязаны. По хорошему - надо переделать, чтобы сохранялся предыдущий стейт(слепок реестра), резолвить фоновым демоном, выгрузку автономно делать. Но переделывать возможно не буду, потому что ищем альтернативу, за деньги и без собственного геморроя.

Про парсер могу сказать, что подпилил roskombox(искать на гитхабе), добавил туда еще один тред с scapy в режиме захвата пакетов. Можно оттуда дергать GET-запросы, как они шлются по сети проверялкой.

Спасибо за наводку =) Про костыли соплями и веревками - это у многих так, реестр, мягко говоря, кусок фекалий. Особо радуют анкоры и домены с точкой в конце

 

Самые главные фичи сурка - обработка TLS и многопоточность. Эксперименты со снортом не увенчались успехом. тормозной он.

[ne-vlezay80]

А ещё суриката не умеет собирать и анализировать фрагментированные пакеты (TCP Reassembly). У снорта с этим проблем нет!

 

Также у сурикаты непонятно как работает инспектирование http

[Dimonyga]

А ещё суриката не умеет собирать и анализировать фрагментированные пакеты (TCP Reassembly). У снорта с этим проблем нет!

 

Также у сурикаты непонятно как работает инспектирование http

 

Уважаемый, я уже прекрасно знаю что вы не осилили сурка. Пожалуйста не вводите людей в заблуждение. У сурка с этим дела обстоят замечательно.

[ne-vlezay80]

Незнаю, сне snort больше понравился.

Про сборку пакетов в сурке я информацию в интернете толком не нашёл. Приведите свои примеры.

 

Это скорее зависит от версии сурка

 

Кстати снорт автоматом опознаёт протоколы. По этому он работает медленнее.

 

Но, это его плюс.

[ichthyandr]

А зачем инлайн мод?? В режиме IDS прекрасно ответы отправляет