myth Опубликовано 5 июня, 2017 · Жалоба ValdikSS, хоть ты сообщение и подправил, но я прочитал. Так вот, таких умников(кто на стороне сервера это делает) блокирую в ручном режиме по ip(с резолвом) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 5 июня, 2017 (изменено) · Жалоба Причем, чтобы заставить работать эту "вкусняшку", как я понял, нужно купить силикомовскую карточку (на наге продается) с лицензией Какую лицензию! Уже и на сетёвки надо лицензии покупать чтоли? Snort можно использовать в режиме NFQ не нужны пустые эмоции и визг, зайдите в магазин нага и почитайте внимательно. Задал конкретный вопрос - сколько трафика Вы обрабатываете и сколько процессов снорта при этом запущено, если только один, то идите в сад Изменено 5 июня, 2017 пользователем ichthyandr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ValdikSS Опубликовано 5 июня, 2017 · Жалоба myth, это ПО для клиента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 5 июня, 2017 · Жалоба ValdikSS,всякие вулканы такое практикуют на стороне сервера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a290 Опубликовано 5 июня, 2017 · Жалоба Причем, чтобы заставить работать эту "вкусняшку", как я понял, нужно купить силикомовскую карточку (на наге продается) с лицензией Какую лицензию! Уже и на сетёвки надо лицензии покупать чтоли? Snort можно использовать в режиме NFQ Лицензия нужна на сам pf_ring (вроде только для IPS режима, для IDS и бесплатная версия подойдет). Я бы вместо SNORT лучше использовал бы suricata. Многопоточность, stream reassembly, фильтрация по HTTP header и TLS SNI - всё это есть и работает. Может работать и только на исходящем от абонента трафике, но для этого нужно пару тривиальных патчей наложить. Помимо медленного NFQ ещё умеет методы захвата через AF_PACKET (linux only) и NETMAP (FreeBSD only). Уже год используем в L2 bridge режиме(FreeBSD, netmap), пропуски были только из-за всякой дичи в реестре, что быстро решалось правкой скрипта, который правила блокировки генерирует на основе реестра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ValdikSS Опубликовано 5 июня, 2017 · Жалоба myth, что конкретно? Вы, видимо, про уменьшение размера окна для фрагментации. GoodbyeDPI только технически уменьшает размер окна, но провайдеру этого не будет видно, т.к. все происходит локально. Кроме фрагментации, там еще множество способов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 5 июня, 2017 · Жалоба Вы, видимо, про уменьшение размера окна для фрагментации да Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aalexanderr Опубликовано 5 июня, 2017 · Жалоба Народ подскажите, постоянно попадают в фильтр 3 сайта: http://ynet.co.il/articles/0,7340,L-4715257,00.html http://ru.odfoundation.eu/a/6450,otchet-dobrovolcheskie-batalony-vozniknovenie-deyatelnost-protivorechiya http://www.mp3mobiles.me/mp3/Амир%20Сейфулла%20(шахид%20%20иншАллах) стоит nfqfilter последний с гита. В urls вроде всё есть в наличии, но не блокирует. В какую сторону копать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 5 июня, 2017 · Жалоба Стоит форк от Vans1. Эти урлы блокируются Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 5 июня, 2017 · Жалоба Причем, чтобы заставить работать эту "вкусняшку", как я понял, нужно купить силикомовскую карточку (на наге продается) с лицензией Какую лицензию! Уже и на сетёвки надо лицензии покупать чтоли? Snort можно использовать в режиме NFQ Лицензия нужна на сам pf_ring (вроде только для IPS режима, для IDS и бесплатная версия подойдет). Я бы вместо SNORT лучше использовал бы suricata. Многопоточность, stream reassembly, фильтрация по HTTP header и TLS SNI - всё это есть и работает. Может работать и только на исходящем от абонента трафике, но для этого нужно пару тривиальных патчей наложить. Помимо медленного NFQ ещё умеет методы захвата через AF_PACKET (linux only) и NETMAP (FreeBSD only). Уже год используем в L2 bridge режиме(FreeBSD, netmap), пропуски были только из-за всякой дичи в реестре, что быстро решалось правкой скрипта, который правила блокировки генерирует на основе реестра. вот тут написано: Example of Symmetric RSS + Core Binding. Как для ips так и для ids режимов снорта. Лицензия покупается для pf_ring конкретно, а не для снорта. По поводу обработки реестра: можно конечно этим заниматься и править скрипты создания правил, но этим надо заниматься постоянно, править скрипты, гонять тесты и т.д. и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a290 Опубликовано 5 июня, 2017 · Жалоба По поводу обработки реестра: можно конечно этим заниматься и править скрипты создания правил, но этим надо заниматься постоянно, править скрипты, гонять тесты и т.д. и т.п. Так этим все равно заниматься надо, иначе штрафы. Либо готовое решение с поддержкой покупать, тогда этим будут заниматься специалисты компании-разработчика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 5 июня, 2017 · Жалоба По поводу обработки реестра: можно конечно этим заниматься и править скрипты создания правил, но этим надо заниматься постоянно, править скрипты, гонять тесты и т.д. и т.п. Так этим все равно заниматься надо, иначе штрафы. Либо готовое решение с поддержкой покупать, тогда этим будут заниматься специалисты компании-разработчика. естественно, поэтому мы выбрали готовое решение Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 5 июня, 2017 · Жалоба Snort можно использовать в режиме NFQ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 5 июня, 2017 · Жалоба естественно, поэтому мы выбрали готовое решение все равно не панацея, т.к. пока кто-то правит скрипты под очередной косяк реестра - есть нарушение. Какую разработчик несет ответственность по договору? Мне просто интересно кто-нибудь обещает полную ответственность или как всегда отказываются от любой ответственности? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 5 июня, 2017 · Жалоба Добровольно подписываться под 100к штрафы за "левая нога так захотела и чета тут ляпнули в реестр" требования ? Провайдеру то или лицензию на стол или обеспечивать, ему деваться особо некуда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 6 июня, 2017 · Жалоба Итак, проблема с vip-club-vulkan.net и компанией решилась правкой исходников nfqfilter. Надоело блокировать ip вручную. Насколько оно будет правильно работать покажет время. С нестабильной блокировкой ресурсов типа prostitutkixxx.org , xn----7sblfa3bidcgbjo9h.com , надеюсь, тоже... $ curl -v vip-club-vulkan.net * Rebuilt URL to: vip-club-vulkan.net/ * Hostname was NOT found in DNS cache * Trying 52.59.21.134... * Connected to vip-club-vulkan.net (52.59.21.134) port 80 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.35.0 > Host: vip-club-vulkan.net > Accept: */* > * Recv failure: Соединение разорвано другой стороной * Closing connection 0 curl: (56) Recv failure: Соединение разорвано другой стороной $ curl -v http://домашнее-порно.com/ * Hostname was NOT found in DNS cache * Trying 95.211.37.202... * Connected to xn----7sblfa3bidcgbjo9h.com (95.211.37.202) port 80 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.35.0 > Host: xn----7sblfa3bidcgbjo9h.com > Accept: */* > < HTTP/1.1 302 Moved Temporarily < Location: http://172.16.35.1/?url=http%3A%2F%2Fxn----7sblfa3bidcgbjo9h.com%2F < Connection: close * Closing connection 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dnvk Опубликовано 6 июня, 2017 · Жалоба 2myth, а какие изменения внесли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 6 июня, 2017 (изменено) · Жалоба Дело в том, что некоторые ресурсы иногда подпадают под это nfqfilter/src/pktanalyzer.cpp if(protocol.master_protocol != NDPI_PROTOCOL_HTTP && protocol.protocol != NDPI_PROTOCOL_HTTP && protocol.protocol != NDPI_PROTOCOL_DIRECT_DOWNLOAD_LINK) { _logger.debug("Not http protocol. Protocol is %hu/%hu from %s:%d to %s:%d",protocol.master_protocol,protocol.protocol,src_ip->toString(),tcp_src_port,dst_ip->toString(),tcp_dst_port); nfq_set_verdict(qh,id,NF_ACCEPT,0,NULL); return ; } В результате имеем пропуск. Помогает if(protocol.master_protocol && protocol.protocol && protocol.master_protocol != NDPI_PROTOCOL_HTTP && protocol.protocol != NDPI_PROTOCOL_HTTP && protocol.protocol != NDPI_PROTOCOL_DIRECT_DOWNLOAD_LINK) { _logger.debug("Not http protocol. Protocol is %hu/%hu from %s:%d to %s:%d",protocol.master_protocol,protocol.protocol,src_ip->toString(),tcp_src_port,dst_ip->toString(),tcp_dst_port); nfq_set_verdict(qh,id,NF_ACCEPT,0,NULL); return ; } Вместо пропуска соединения подвисают в воздухе. И (внезапно!) ломается newcamd. Вопрос - почему nDPI иногда не может определить протокол? После нескольких перезапусков может начать работать как ни в чем не бывало Изменено 6 июня, 2017 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 июня, 2017 · Жалоба Не удивительно что у вас всё так хреново, вы бы хотя бы кот отформатировали, а лучше переписали на switch. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 6 июня, 2017 · Жалоба А по существу есть чего? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 7 июня, 2017 · Жалоба А по существу есть чего? фигня всё это граждане тыц, лишь глупые потуги. Вот сегодня у нас блокирнулся avito и aliexpress (карбон стоит). Местные ркн начинают рассылать белые списки под 2500 записей. Еще осталось процессинговые центры визы, мастеркард и еще чего нибудь залочить и наступит алесгемахт ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 7 июня, 2017 · Жалоба Еще осталось процессинговые центры визы, мастеркард и еще чего нибудь залочить и наступит алесгемахт ... Там L2 VPN-ы. С криптографией внутри. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flow-control Опубликовано 7 июня, 2017 · Жалоба > server 8.8.8.8 Default Server: google-public-dns-a.google.com Address: 8.8.8.8 > ww2.leonbet.me Server: google-public-dns-a.google.com Address: 8.8.8.8 Non-authoritative answer: Name: online.sberbank.ru Address: 194.54.14.131 Aliases: ww2.leonbet.me > Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 7 июня, 2017 · Жалоба фигня всё это граждане тыц, лишь глупые потуги. Вот сегодня у нас блокирнулся avito и aliexpress (карбон стоит). Местные ркн начинают рассылать белые списки под 2500 записей. Еще осталось процессинговые центры визы, мастеркард и еще чего нибудь залочить и наступит алесгемахт ... А у меня работают) На фильтр анонсируется, работает без проблем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 7 июня, 2017 (изменено) · Жалоба фигня всё это граждане тыц, лишь глупые потуги. Вот сегодня у нас блокирнулся avito и aliexpress (карбон стоит). Местные ркн начинают рассылать белые списки под 2500 записей. Еще осталось процессинговые центры визы, мастеркард и еще чего нибудь залочить и наступит алесгемахт ... А у меня работают) На фильтр анонсируется, работает без проблем реализации разные ;) Изменено 7 июня, 2017 пользователем ichthyandr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...