ne-vlezay80 Posted July 27, 2016 (edited) · Report post Вот конфиг: http://paste.debian.net/785678/ Вот правило: alert tcp any any -> any 80 (dsize:>78; content:"casino.org"; fast_pattern; content: "/ruletka.html"; nocase; rev:1; sid: 1000001; react;) Если посылать пакет с нормальным mtu, то реакция есть: Распознаётся casino.org (casino.org)… 212.113.133.146 Подключение к casino.org (casino.org)|212.113.133.146|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 301 Moved Permanently Адрес: https://www.casino.org/ruletka.html [переход] --2016-07-28 01:07:44-- https://www.casino.org/ruletka.html Распознаётся www.casino.org (www.casino.org)… 104.122.248.110 Подключение к www.casino.org (www.casino.org)|104.122.248.110|:443... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 404 Not Found 2016-07-28 01:07:44 ОШИБКА 404: Not Found. 07/27-22:07:44.258682 [**] [1:1000001:1] [**] [Priority: 0] {TCP} 10.247.1.14:33792 -> 212.113.133.146:80 Если посылать пакет с маленьким mtu через wget или netcat, то реакции нет. Как заставить snort блокировать мелкие пакеты? Edited July 27, 2016 by ne-vlezay80 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted July 28, 2016 · Report post Погуглите snort + frag2 Это для целей фильтрации URL из списка РКН? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted July 28, 2016 · Report post Погуглите snort + frag2 Это для целей фильтрации URL из списка РКН? Да, может быть приспособлю Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...