1. Для блокировка используем

[nickD]

А умеет ли suricata потоки собирать?

 

Поправте если я не прав.

 

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml

"

The Stream-engine keeps track of the TCP-connections. The engine exists of two parts: The stream tracking- and the reassembly-engine.

The stream-tracking engine monitors the state of a connection. The reassembly-engine reconstructs the flow as it used to be, so it will be recognised by Suricata.

"

[big-town]

Так вот за день набежало около 30 пропусков по отчетам ревизора.

У меня по собственной программе тестирования тоже примерно такой же пропуск при опциях url_normalization = true и remove_dot = true. Сделал небольшую утильку которая предварительно прогоняет urls через POCO, по собственной программе тестирования 0 пропусков. Сервер сейчас стоит дома, к сожалению пока проверить на ревизоре не могу. Попробуйте https://github.com/big-town/poco_uri_normal отпишитесь о результатах.

 

На вход даете оригинальные ссылки после перловского скрипта, на выходе получаете файл который надо скормить extFilter-у, по умолчанию это urls.

Изменено 20 июля, 2017 пользователем big-town

[Bat]

Там каждый раз были разные адреса. И при ручной проверке все блочилось.

[ne-vlezay80]

А пожно ли в extfilter реализовать блокировку анонимайзеров и VPN?

А также можно ли snort настроить для выполнения этого закона: https://ria.ru/society/20170721/1498890672.html

[alibek]

А в чем проблема?

Заблокировать ip:port можно на чем угодно.

[ne-vlezay80]

А в чем проблема?

Заблокировать ip:port можно на чем угодно.

Как я понял, анонимайзеры будут блокироваться только по IP-адресам?

[alibek]

Анонимайзеры можно блокировать также, как обычные сайты, по доменному имени.

VPN-сервера можно блокировать по IP-адресу.

Проблем не вижу.

[ne-vlezay80]

Анонимайзеры можно блокировать также, как обычные сайты, по доменному имени.

VPN-сервера можно блокировать по IP-адресу.

Проблем не вижу.

А tor как будет блокироваться?

[alibek]

А зачем?

Если потребуется, его можно блокировать по IP.

[ne-vlezay80]

А зачем?

Если потребуется, его можно блокировать по IP.

А как быть с obfs4?

[alibek]

А что с obfs такого, что не будет блокироваться по IP?

[ne-vlezay80]

А что с obfs такого, что не будет блокироваться по IP?

Да, а можно есго как то блокировать через snort?

[alibek]

Понятия не имею, но наверняка сигнатуру можно выделить.

Но это и не требуется, если списки прокси будут общедоступны, их можно блокировать по IP, если будут не общедоступны, значит блокировка эффективна.

[ne-vlezay80]

Понятия не имею, но наверняка сигнатуру можно выделить.

Но это и не требуется, если списки прокси будут общедоступны, их можно блокировать по IP, если будут не общедоступны, значит блокировка эффективна.

Если только ихнее хранилище будет взломано.

[alibek]

Какое "ихнее"? Вообще перестал понимать, о чем речь.

 

Все эти псевдо-децентрализованные сети, работающие поверх интернета, эффективно работают только в условиях сетевого нейтралитета в интернете.

Если же заняться ими целенаправлено, то взломать их может быть и нельзя, а вот поломать вполне можно.

Откуда пользователи TOR возьмут списки obfs? С трекера или почтовой рассылки. Трекер это точка отказа (централизация) и его можно заблокировать. А адреса прокси в почтовой рассылке вносить в список блокировки.

В любой анонимной системе цепочка доверия должна откуда-то начинаться — с какого-то сайта-трекера (который можно заблокировать) или фиксированных списков, вшитых в клиента или получаемых по альтернативным каналам (и эти списки можно получить и заблокировать).

[Antares]

Что-то последнее время на версии 0.80 extfilter ловлю пропуски(по ревизору), не много 1-3 в сутки, но всё же...

Изменено 24 июля, 2017 пользователем Antares

[max1976]

Что-то последнее время на версии 0.80 extfilter ловлю пропуски(по ревизору), не много 1-3 в сутки, но всё же...

 

Я писал об этом пару недель назад. Занимаюсь решением проблемы.

[max1976]

Что-то последнее время на версии 0.80 extfilter ловлю пропуски(по ревизору), не много 1-3 в сутки, но всё же...

 

Я писал об этом пару недель назад. Занимаюсь решением проблемы.

 

Проблема найдена и решена. Для корректной сборки extfilter надо: либо удалить каталог peafowl и заново запустить configure, либо собрать extfilter в новом каталоге.

[ne-vlezay80]

Чем блокировать запрещённые сайты на VPS?

[Antares]

Что-то последнее время на версии 0.80 extfilter ловлю пропуски(по ревизору), не много 1-3 в сутки, но всё же...

 

Я писал об этом пару недель назад. Занимаюсь решением проблемы.

 

Проблема найдена и решена. Для корректной сборки extfilter надо: либо удалить каталог peafowl и заново запустить configure, либо собрать extfilter в новом каталоге.

Огромное спасибо, тестируем.

[sanyasi]

CentOS Linux release 7.3.1611/3.10.0-514.26.2.el7.x86_6

 

dpdk-stable-17.05.1

poco-1.7.8p3 или poco-1.6.1

extfilter сегодняшний

 

делает много пропусков, причем один раз из 5-10 запросов одной и той-же ссылки блокирует. С русскими url, пока не разбирался, но тоже пропусков много.

 

ссылка порезана, для конспирации:

 

wget -nv -t 1 -T 2 --no-check-certificate --spider -S "http://.com/top/4290-Топ-10-способов.html" иногда блокируется, запрос передается в правильном формате (закодирован)

curl --connect-timeout 2 -skL "http://.com/top/4290-Топ-10-способов.html" не блокируется, запрос передается как есть

 

откатился пока на 0.70

В этой версии два способа проверки блокируются одинаково хорошо.

Изменено 28 июля, 2017 пользователем sanyasi

[Zarin]

max1976 если я правильно понимаю, с версии 0.80 появилось отслеживание TCP сессий. То есть, нужно лить не только исходящий от абонентов трафик, но и входящий ?

[alibek]

Сильно сомневаюсь, что речь идет о сессиях в прикладном значении (уровень L7).

Скорее всего имеется ввиду сборка IP-пакетов в одну TCP-сессию.

[Zarin]

Сильно сомневаюсь, что речь идет о сессиях в прикладном значении (уровень L7).

Скорее всего имеется ввиду сборка IP-пакетов в одну TCP-сессию.

Код не смотрел, но думаю, именно так.

[sanyasi]

Может кто улучшит, или воспользуется. Быстрая многопоточная проверялка блокирования.

 

Ревизор (urls.dump с протоколами http://)

 

cat revizor

 

#!/bin/bash

> noblock
> error

cat urls.dump | grep -v '^$' |  while read url; do
   echo $url
   ./poller "$url" &
done

 

cat poller

 

#!/bin/bash

STR=`wget -q -nv -t 1 -T 5 --no-check-certificate --spider -S "$@" 2>&1`
ERR=$?

GET=`echo -e "$STR" | head -1`

if [[ "$ERR" == "0" ]]; then

   if [[ "$GET" == '  HTTP/1.1 200 OK' ]] ; then
       echo -e "$@\n$STR" >> noblock        
   fi

else
   echo [$ERR] - $@1 >> error
fi

 

time ./revizor

 

real 1m13.453s

user 2m8.200s

sys 1m34.770s