1. Для блокировка используем

[myth]

ValdikSS, хоть ты сообщение и подправил, но я прочитал. Так вот, таких умников(кто на стороне сервера это делает) блокирую в ручном режиме по ip(с резолвом)

[ichthyandr]

Причем, чтобы заставить работать эту "вкусняшку", как я понял, нужно купить силикомовскую карточку (на наге продается) с лицензией

Какую лицензию! Уже и на сетёвки надо лицензии покупать чтоли?

 

 

Snort можно использовать в режиме NFQ

не нужны пустые эмоции и визг, зайдите в магазин нага и почитайте внимательно. Задал конкретный вопрос - сколько трафика Вы обрабатываете и сколько процессов снорта при этом запущено, если только один, то идите в сад

Изменено 5 июня, 2017 пользователем ichthyandr

[ValdikSS]

myth, это ПО для клиента.

[myth]

ValdikSS,всякие вулканы такое практикуют на стороне сервера

[a290]

Причем, чтобы заставить работать эту "вкусняшку", как я понял, нужно купить силикомовскую карточку (на наге продается) с лицензией

Какую лицензию! Уже и на сетёвки надо лицензии покупать чтоли?

 

 

Snort можно использовать в режиме NFQ

Лицензия нужна на сам pf_ring (вроде только для IPS режима, для IDS и бесплатная версия подойдет).

 

Я бы вместо SNORT лучше использовал бы suricata. Многопоточность, stream reassembly, фильтрация по HTTP header и TLS SNI - всё это есть и работает. Может работать и только на исходящем от абонента трафике, но для этого нужно пару тривиальных патчей наложить. Помимо медленного NFQ ещё умеет методы захвата через AF_PACKET (linux only) и NETMAP (FreeBSD only). Уже год используем в L2 bridge режиме(FreeBSD, netmap), пропуски были только из-за всякой дичи в реестре, что быстро решалось правкой скрипта, который правила блокировки генерирует на основе реестра.

[ValdikSS]

myth, что конкретно? Вы, видимо, про уменьшение размера окна для фрагментации. GoodbyeDPI только технически уменьшает размер окна, но провайдеру этого не будет видно, т.к. все происходит локально. Кроме фрагментации, там еще множество способов.

[myth]

Вы, видимо, про уменьшение размера окна для фрагментации

да

[aalexanderr]

Народ подскажите, постоянно попадают в фильтр 3 сайта:

http://ynet.co.il/articles/0,7340,L-4715257,00.html

http://ru.odfoundation.eu/a/6450,otchet-dobrovolcheskie-batalony-vozniknovenie-deyatelnost-protivorechiya

http://www.mp3mobiles.me/mp3/Амир%20Сейфулла%20(шахид%20%20иншАллах)

 

стоит nfqfilter последний с гита.

В urls вроде всё есть в наличии, но не блокирует.

В какую сторону копать ?

[myth]

Стоит форк от Vans1. Эти урлы блокируются

[ichthyandr]

Причем, чтобы заставить работать эту "вкусняшку", как я понял, нужно купить силикомовскую карточку (на наге продается) с лицензией

Какую лицензию! Уже и на сетёвки надо лицензии покупать чтоли?

 

 

Snort можно использовать в режиме NFQ

 

Лицензия нужна на сам pf_ring (вроде только для IPS режима, для IDS и бесплатная версия подойдет).

 

Я бы вместо SNORT лучше использовал бы suricata. Многопоточность, stream reassembly, фильтрация по HTTP header и TLS SNI - всё это есть и работает. Может работать и только на исходящем от абонента трафике, но для этого нужно пару тривиальных патчей наложить. Помимо медленного NFQ ещё умеет методы захвата через AF_PACKET (linux only) и NETMAP (FreeBSD only). Уже год используем в L2 bridge режиме(FreeBSD, netmap), пропуски были только из-за всякой дичи в реестре, что быстро решалось правкой скрипта, который правила блокировки генерирует на основе реестра.

вот тут написано: Example of Symmetric RSS + Core Binding. Как для ips так и для ids режимов снорта. Лицензия покупается для pf_ring конкретно, а не для снорта. По поводу обработки реестра: можно конечно этим заниматься и править скрипты создания правил, но этим надо заниматься постоянно, править скрипты, гонять тесты и т.д. и т.п.

[a290]

По поводу обработки реестра: можно конечно этим заниматься и править скрипты создания правил, но этим надо заниматься постоянно, править скрипты, гонять тесты и т.д. и т.п.

 

Так этим все равно заниматься надо, иначе штрафы. Либо готовое решение с поддержкой покупать, тогда этим будут заниматься специалисты компании-разработчика.

[ichthyandr]

По поводу обработки реестра: можно конечно этим заниматься и править скрипты создания правил, но этим надо заниматься постоянно, править скрипты, гонять тесты и т.д. и т.п.

 

Так этим все равно заниматься надо, иначе штрафы. Либо готовое решение с поддержкой покупать, тогда этим будут заниматься специалисты компании-разработчика.

естественно, поэтому мы выбрали готовое решение

[ne-vlezay80]

Snort можно использовать в режиме NFQ

[Tosha]

естественно, поэтому мы выбрали готовое решение

все равно не панацея, т.к. пока кто-то правит скрипты под очередной косяк реестра - есть нарушение.

 

Какую разработчик несет ответственность по договору? Мне просто интересно кто-нибудь обещает полную ответственность или как всегда отказываются от любой ответственности?

[st_re]

Добровольно подписываться под 100к штрафы за "левая нога так захотела и чета тут ляпнули в реестр" требования ? Провайдеру то или лицензию на стол или обеспечивать, ему деваться особо некуда.

[myth]

Итак, проблема с vip-club-vulkan.net и компанией решилась правкой исходников nfqfilter. Надоело блокировать ip вручную. Насколько оно будет правильно работать покажет время.

 

С нестабильной блокировкой ресурсов типа prostitutkixxx.org , xn----7sblfa3bidcgbjo9h.com , надеюсь, тоже...

$ curl -v vip-club-vulkan.net
* Rebuilt URL to: vip-club-vulkan.net/
* Hostname was NOT found in DNS cache
* Trying 52.59.21.134...
* Connected to vip-club-vulkan.net (52.59.21.134) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.35.0
> Host: vip-club-vulkan.net
> Accept: */*
>
* Recv failure: Соединение разорвано другой стороной
* Closing connection 0
curl: (56) Recv failure: Соединение разорвано другой стороной

$ curl -v http://домашнее-порно.com/
* Hostname was NOT found in DNS cache
* Trying 95.211.37.202...
* Connected to xn----7sblfa3bidcgbjo9h.com (95.211.37.202) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.35.0
> Host: xn----7sblfa3bidcgbjo9h.com
> Accept: */*
>
< HTTP/1.1 302 Moved Temporarily
< Location: http://172.16.35.1/?url=http%3A%2F%2Fxn----7sblfa3bidcgbjo9h.com%2F
< Connection: close
* Closing connection 0

[dnvk]

2myth, а какие изменения внесли?

[myth]

Дело в том, что некоторые ресурсы иногда подпадают под это

nfqfilter/src/pktanalyzer.cpp

        if(protocol.master_protocol != NDPI_PROTOCOL_HTTP && protocol.protocol != NDPI_PROTOCOL_HTTP && protocol.protocol != NDPI_PROTOCOL_DIRECT_DOWNLOAD_LINK)
       {
               _logger.debug("Not http protocol. Protocol is %hu/%hu from %s:%d to %s:%d",protocol.master_protocol,protocol.protocol,src_ip->toString(),tcp_src_port,dst_ip->toString(),tcp_dst_port);
               nfq_set_verdict(qh,id,NF_ACCEPT,0,NULL);
               return ;
       }

В результате имеем пропуск.

Помогает

        if(protocol.master_protocol && protocol.protocol && protocol.master_protocol != NDPI_PROTOCOL_HTTP && protocol.protocol != NDPI_PROTOCOL_HTTP && protocol.protocol != NDPI_PROTOCOL_DIRECT_DOWNLOAD_LINK)
       {
               _logger.debug("Not http protocol. Protocol is %hu/%hu from %s:%d to %s:%d",protocol.master_protocol,protocol.protocol,src_ip->toString(),tcp_src_port,dst_ip->toString(),tcp_dst_port);
               nfq_set_verdict(qh,id,NF_ACCEPT,0,NULL);
               return ;
       }

Вместо пропуска соединения подвисают в воздухе. И (внезапно!) ломается newcamd. Вопрос - почему nDPI иногда не может определить протокол? После нескольких перезапусков может начать работать как ни в чем не бывало

Изменено 6 июня, 2017 пользователем myth

[Ivan_83]

Не удивительно что у вас всё так хреново, вы бы хотя бы кот отформатировали, а лучше переписали на switch.

[myth]

А по существу есть чего?

[ichthyandr]

А по существу есть чего?

фигня всё это граждане тыц, лишь глупые потуги. Вот сегодня у нас блокирнулся avito и aliexpress (карбон стоит). Местные ркн начинают рассылать белые списки под 2500 записей. Еще осталось процессинговые центры визы, мастеркард и еще чего нибудь залочить и наступит алесгемахт ...

[snvoronkov]

Еще осталось процессинговые центры визы, мастеркард и еще чего нибудь залочить и наступит алесгемахт ...

Там L2 VPN-ы. С криптографией внутри.

[flow-control]

> server 8.8.8.8
Default Server:  google-public-dns-a.google.com
Address:  8.8.8.8

> ww2.leonbet.me
Server:  google-public-dns-a.google.com
Address:  8.8.8.8

Non-authoritative answer:
Name:    online.sberbank.ru
Address:  194.54.14.131
Aliases:  ww2.leonbet.me

>

[myth]

фигня всё это граждане тыц, лишь глупые потуги. Вот сегодня у нас блокирнулся avito и aliexpress (карбон стоит). Местные ркн начинают рассылать белые списки под 2500 записей. Еще осталось процессинговые центры визы, мастеркард и еще чего нибудь залочить и наступит алесгемахт ...

А у меня работают)

 

На фильтр анонсируется, работает без проблем

[ichthyandr]

фигня всё это граждане тыц, лишь глупые потуги. Вот сегодня у нас блокирнулся avito и aliexpress (карбон стоит). Местные ркн начинают рассылать белые списки под 2500 записей. Еще осталось процессинговые центры визы, мастеркард и еще чего нибудь залочить и наступит алесгемахт ...

А у меня работают)

 

На фильтр анонсируется, работает без проблем

реализации разные ;)

Изменено 7 июня, 2017 пользователем ichthyandr