Jump to content
Калькуляторы

Snort для блокирования сайтов

Материал:

Возможно, я не умею готовить URL-DB, но фильтрация средствами SCE давала сбои, к тому же, мы начали вылазить за пределы ее возможностей (обеих, имеющихся). Я решил попробовать Snort, и получил эффективность выше, чем у SCE. Параллельно брали на тест СКАТ, рассматривали как замену SCE по нарезке скорости.

 

Полный текст

Share this post


Link to post
Share on other sites
В определенных трудах в интернете утверждается, что с libpcap старых версий позволяет выдавить 200-500Мбит/с через фильтр.

Linux PF_RING - 10 Gbit Hardware Packet Filtering using commodity network adapters

Share this post


Link to post
Share on other sites

Может будет Вам в тему:Ускорение анализатора сетевого трафика Snort при помощи библиотеки Hyperscan + Netmap-ipfw (вроде pavel.odintsov удалось его как то "укротить")

Суриката тоже поддерживает данную библиотеку, и вроде уже неплохо "параллелиться" + фишки SSL/TLS

Edited by Alex_Sor

Share this post


Link to post
Share on other sites

Как автор и исследователь могу сказать: смотрел сурикату, думал, поможет.

У сурикаты есть два сильных недостатка.

1. У нее паттерн-матчинг сильно хуже снорта(есть в интернетах исследование эффективности)

2. У нее нет активного ответа. То есть мы можем просто дропнуть пакеты запроса, а сообщить пользователю, что за ним уже выехали - не можем. Так не пойдет.

 

Про гиперскан - можно попробовать в порядке эксперимента, спасибо, не знал про нее. Собирать из исходников несложно. Можно будет еще посмотреть, не отломался ли эктив-респонс на 2.9.8 снорте.

Share this post


Link to post
Share on other sites

В порядке "фантазии", раз у вас в сервере 4 "дырки", собрать с помощью свитча(lacp, balancing) два моста параллельно и на каждом запустить по копии снорта(shared rules, ресурсы и т.п.), разнести по ядрам cpu, ну т.д. и т.п.? в гугле "snort multiple cores/snort multiple instances" на одной машине, нет?

Share this post


Link to post
Share on other sites
2. У нее нет активного ответа. То есть мы можем просто дропнуть пакеты запроса, а сообщить пользователю, что за ним уже выехали - не можем. Так не пойдет.

Ну уж это то прикрутить не сложно должно быть.

Share this post


Link to post
Share on other sites

У меня стоит SURICATA, сам дописывал аналог REACT (хардкодом, криво и мне за это стыдно, но работает), работает не только у меня но и у нескольких людей. Сейчас стоит в режиме AF-PACKET но буду переделывать на NFQ + baypass, из за бэйпасса собственно.

Вот ссылка на доработку, возможно в будущем причешу и сделаю пулл реквэст

https://www.linux.org.ru/forum/admin/12008608#comment-12211597

Хотелось бы уточнить по поводу парсера и генератора правил, поделитесь пожалуйста, а то я устал уже воевать с кривостями реестра.

Share this post


Link to post
Share on other sites

У меня стоит SURICATA, сам дописывал аналог REACT (хардкодом, криво и мне за это стыдно, но работает), работает не только у меня но и у нескольких людей. Сейчас стоит в режиме AF-PACKET но буду переделывать на NFQ + baypass, из за бэйпасса собственно.

Вот ссылка на доработку, возможно в будущем причешу и сделаю пулл реквэст

https://www.linux.org.ru/forum/admin/12008608#comment-12211597

Сколько трафика пропускает через себя? У меня на DIVERT-трафике на 100Мбит/сек снорт дропал немножко много. До ютуба 5-13% потерь пингов(они тоже через снорт шли).

Хотелось бы уточнить по поводу парсера и генератора правил, поделитесь пожалуйста, а то я устал уже воевать с кривостями реестра.

Мне за него тоже стыдно, там костыли соплями и веревками перевязаны. По хорошему - надо переделать, чтобы сохранялся предыдущий стейт(слепок реестра), резолвить фоновым демоном, выгрузку автономно делать. Но переделывать возможно не буду, потому что ищем альтернативу, за деньги и без собственного геморроя.

Про парсер могу сказать, что подпилил roskombox(искать на гитхабе), добавил туда еще один тред с scapy в режиме захвата пакетов. Можно оттуда дергать GET-запросы, как они шлются по сети проверялкой.

Share this post


Link to post
Share on other sites

А парсилку урлов можно взять у того же карбона. Там активация не потребуется.

Share this post


Link to post
Share on other sites

Сколько трафика пропускает через себя? У меня на DIVERT-трафике на 100Мбит/сек снорт дропал немножко много. До ютуба 5-13% потерь пингов(они тоже через снорт шли).

Сейчас ДО 150 мегабит. Дропов ноль от слова совсем. Начинаются после 200 мегабит но небольшие. Если тему на лоре почитаете - я там выкладывал всё, в том числе и железо

Мне за него тоже стыдно, там костыли соплями и веревками перевязаны. По хорошему - надо переделать, чтобы сохранялся предыдущий стейт(слепок реестра), резолвить фоновым демоном, выгрузку автономно делать. Но переделывать возможно не буду, потому что ищем альтернативу, за деньги и без собственного геморроя.

Про парсер могу сказать, что подпилил roskombox(искать на гитхабе), добавил туда еще один тред с scapy в режиме захвата пакетов. Можно оттуда дергать GET-запросы, как они шлются по сети проверялкой.

Спасибо за наводку =) Про костыли соплями и веревками - это у многих так, реестр, мягко говоря, кусок фекалий. Особо радуют анкоры и домены с точкой в конце

 

Самые главные фичи сурка - обработка TLS и многопоточность. Эксперименты со снортом не увенчались успехом. тормозной он.

Share this post


Link to post
Share on other sites

А ещё суриката не умеет собирать и анализировать фрагментированные пакеты (TCP Reassembly). У снорта с этим проблем нет!

 

Также у сурикаты непонятно как работает инспектирование http

Share this post


Link to post
Share on other sites

А ещё суриката не умеет собирать и анализировать фрагментированные пакеты (TCP Reassembly). У снорта с этим проблем нет!

 

Также у сурикаты непонятно как работает инспектирование http

 

Уважаемый, я уже прекрасно знаю что вы не осилили сурка. Пожалуйста не вводите людей в заблуждение. У сурка с этим дела обстоят замечательно.

Share this post


Link to post
Share on other sites

Незнаю, сне snort больше понравился.

Про сборку пакетов в сурке я информацию в интернете толком не нашёл. Приведите свои примеры.

 

Это скорее зависит от версии сурка

 

Кстати снорт автоматом опознаёт протоколы. По этому он работает медленнее.

 

Но, это его плюс.

Share this post


Link to post
Share on other sites

А зачем инлайн мод?? В режиме IDS прекрасно ответы отправляет

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this