ne-vlezay80 Posted July 27, 2016 Posted July 27, 2016 (edited) Вот конфиг: http://paste.debian.net/785678/ Вот правило: alert tcp any any -> any 80 (dsize:>78; content:"casino.org"; fast_pattern; content: "/ruletka.html"; nocase; rev:1; sid: 1000001; react;) Если посылать пакет с нормальным mtu, то реакция есть: Распознаётся casino.org (casino.org)… 212.113.133.146 Подключение к casino.org (casino.org)|212.113.133.146|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 301 Moved Permanently Адрес: https://www.casino.org/ruletka.html [переход] --2016-07-28 01:07:44-- https://www.casino.org/ruletka.html Распознаётся www.casino.org (www.casino.org)… 104.122.248.110 Подключение к www.casino.org (www.casino.org)|104.122.248.110|:443... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 404 Not Found 2016-07-28 01:07:44 ОШИБКА 404: Not Found. 07/27-22:07:44.258682 [**] [1:1000001:1] [**] [Priority: 0] {TCP} 10.247.1.14:33792 -> 212.113.133.146:80 Если посылать пакет с маленьким mtu через wget или netcat, то реакции нет. Как заставить snort блокировать мелкие пакеты? Edited July 27, 2016 by ne-vlezay80 Вставить ник Quote
Умник Posted July 28, 2016 Posted July 28, 2016 Погуглите snort + frag2 Это для целей фильтрации URL из списка РКН? Вставить ник Quote
ne-vlezay80 Posted July 28, 2016 Author Posted July 28, 2016 Погуглите snort + frag2 Это для целей фильтрации URL из списка РКН? Да, может быть приспособлю Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.