nickD Опубликовано 18 июля, 2017 · Жалоба А умеет ли suricata потоки собирать? Поправте если я не прав. https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml " The Stream-engine keeps track of the TCP-connections. The engine exists of two parts: The stream tracking- and the reassembly-engine. The stream-tracking engine monitors the state of a connection. The reassembly-engine reconstructs the flow as it used to be, so it will be recognised by Suricata. " Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
big-town Опубликовано 20 июля, 2017 (изменено) · Жалоба Так вот за день набежало около 30 пропусков по отчетам ревизора. У меня по собственной программе тестирования тоже примерно такой же пропуск при опциях url_normalization = true и remove_dot = true. Сделал небольшую утильку которая предварительно прогоняет urls через POCO, по собственной программе тестирования 0 пропусков. Сервер сейчас стоит дома, к сожалению пока проверить на ревизоре не могу. Попробуйте https://github.com/big-town/poco_uri_normal отпишитесь о результатах. На вход даете оригинальные ссылки после перловского скрипта, на выходе получаете файл который надо скормить extFilter-у, по умолчанию это urls. Изменено 20 июля, 2017 пользователем big-town Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bat Опубликовано 21 июля, 2017 · Жалоба Там каждый раз были разные адреса. И при ручной проверке все блочилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 21 июля, 2017 · Жалоба А пожно ли в extfilter реализовать блокировку анонимайзеров и VPN? А также можно ли snort настроить для выполнения этого закона: https://ria.ru/society/20170721/1498890672.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 июля, 2017 · Жалоба А в чем проблема? Заблокировать ip:port можно на чем угодно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 21 июля, 2017 · Жалоба А в чем проблема? Заблокировать ip:port можно на чем угодно. Как я понял, анонимайзеры будут блокироваться только по IP-адресам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 июля, 2017 · Жалоба Анонимайзеры можно блокировать также, как обычные сайты, по доменному имени. VPN-сервера можно блокировать по IP-адресу. Проблем не вижу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 21 июля, 2017 · Жалоба Анонимайзеры можно блокировать также, как обычные сайты, по доменному имени. VPN-сервера можно блокировать по IP-адресу. Проблем не вижу. А tor как будет блокироваться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 июля, 2017 · Жалоба А зачем? Если потребуется, его можно блокировать по IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 21 июля, 2017 · Жалоба А зачем? Если потребуется, его можно блокировать по IP. А как быть с obfs4? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 июля, 2017 · Жалоба А что с obfs такого, что не будет блокироваться по IP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 21 июля, 2017 · Жалоба А что с obfs такого, что не будет блокироваться по IP? Да, а можно есго как то блокировать через snort? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 июля, 2017 · Жалоба Понятия не имею, но наверняка сигнатуру можно выделить. Но это и не требуется, если списки прокси будут общедоступны, их можно блокировать по IP, если будут не общедоступны, значит блокировка эффективна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 21 июля, 2017 · Жалоба Понятия не имею, но наверняка сигнатуру можно выделить. Но это и не требуется, если списки прокси будут общедоступны, их можно блокировать по IP, если будут не общедоступны, значит блокировка эффективна. Если только ихнее хранилище будет взломано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 июля, 2017 · Жалоба Какое "ихнее"? Вообще перестал понимать, о чем речь. Все эти псевдо-децентрализованные сети, работающие поверх интернета, эффективно работают только в условиях сетевого нейтралитета в интернете. Если же заняться ими целенаправлено, то взломать их может быть и нельзя, а вот поломать вполне можно. Откуда пользователи TOR возьмут списки obfs? С трекера или почтовой рассылки. Трекер это точка отказа (централизация) и его можно заблокировать. А адреса прокси в почтовой рассылке вносить в список блокировки. В любой анонимной системе цепочка доверия должна откуда-то начинаться — с какого-то сайта-трекера (который можно заблокировать) или фиксированных списков, вшитых в клиента или получаемых по альтернативным каналам (и эти списки можно получить и заблокировать). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 24 июля, 2017 (изменено) · Жалоба Что-то последнее время на версии 0.80 extfilter ловлю пропуски(по ревизору), не много 1-3 в сутки, но всё же... Изменено 24 июля, 2017 пользователем Antares Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 24 июля, 2017 · Жалоба Что-то последнее время на версии 0.80 extfilter ловлю пропуски(по ревизору), не много 1-3 в сутки, но всё же... Я писал об этом пару недель назад. Занимаюсь решением проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 25 июля, 2017 · Жалоба Что-то последнее время на версии 0.80 extfilter ловлю пропуски(по ревизору), не много 1-3 в сутки, но всё же... Я писал об этом пару недель назад. Занимаюсь решением проблемы. Проблема найдена и решена. Для корректной сборки extfilter надо: либо удалить каталог peafowl и заново запустить configure, либо собрать extfilter в новом каталоге. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 25 июля, 2017 · Жалоба Чем блокировать запрещённые сайты на VPS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 26 июля, 2017 · Жалоба Что-то последнее время на версии 0.80 extfilter ловлю пропуски(по ревизору), не много 1-3 в сутки, но всё же... Я писал об этом пару недель назад. Занимаюсь решением проблемы. Проблема найдена и решена. Для корректной сборки extfilter надо: либо удалить каталог peafowl и заново запустить configure, либо собрать extfilter в новом каталоге. Огромное спасибо, тестируем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sanyasi Опубликовано 28 июля, 2017 (изменено) · Жалоба CentOS Linux release 7.3.1611/3.10.0-514.26.2.el7.x86_6 dpdk-stable-17.05.1 poco-1.7.8p3 или poco-1.6.1 extfilter сегодняшний делает много пропусков, причем один раз из 5-10 запросов одной и той-же ссылки блокирует. С русскими url, пока не разбирался, но тоже пропусков много. ссылка порезана, для конспирации: wget -nv -t 1 -T 2 --no-check-certificate --spider -S "http://.com/top/4290-Топ-10-способов.html" иногда блокируется, запрос передается в правильном формате (закодирован) curl --connect-timeout 2 -skL "http://.com/top/4290-Топ-10-способов.html" не блокируется, запрос передается как есть откатился пока на 0.70 В этой версии два способа проверки блокируются одинаково хорошо. Изменено 28 июля, 2017 пользователем sanyasi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zarin Опубликовано 29 июля, 2017 · Жалоба max1976 если я правильно понимаю, с версии 0.80 появилось отслеживание TCP сессий. То есть, нужно лить не только исходящий от абонентов трафик, но и входящий ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 29 июля, 2017 · Жалоба Сильно сомневаюсь, что речь идет о сессиях в прикладном значении (уровень L7). Скорее всего имеется ввиду сборка IP-пакетов в одну TCP-сессию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zarin Опубликовано 29 июля, 2017 · Жалоба Сильно сомневаюсь, что речь идет о сессиях в прикладном значении (уровень L7). Скорее всего имеется ввиду сборка IP-пакетов в одну TCP-сессию. Код не смотрел, но думаю, именно так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sanyasi Опубликовано 29 июля, 2017 · Жалоба Может кто улучшит, или воспользуется. Быстрая многопоточная проверялка блокирования. Ревизор (urls.dump с протоколами http://) cat revizor #!/bin/bash > noblock > error cat urls.dump | grep -v '^$' | while read url; do echo $url ./poller "$url" & done cat poller #!/bin/bash STR=`wget -q -nv -t 1 -T 5 --no-check-certificate --spider -S "$@" 2>&1` ERR=$? GET=`echo -e "$STR" | head -1` if [[ "$ERR" == "0" ]]; then if [[ "$GET" == ' HTTP/1.1 200 OK' ]] ; then echo -e "$@\n$STR" >> noblock fi else echo [$ERR] - $@1 >> error fi time ./revizor real 1m13.453s user 2m8.200s sys 1m34.770s Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...