[FUG-BR] RES: Filtro L7
Marcello
unixmafia em yahoo.com.br
Quarta Março 12 14:43:48 BRT 2008
Amigo
Já tem um bom tempinho que coloquei na lista que para bloquear p2p basta
bloquear o trafego de UDP , liberando apenas o necessário de preferencia
ponto a ponto , por exemplo DNS para servidores de dns , ponto a ponto
para VPN e assim por diante, isso não exatamente bloqueia o download mas
sim a pesquisa de fontes para downloads , tenho por habito colocar o
trafego digamos sujo em uma tunnel de baixa prioridade e ainda com uma
pequena perda de pacotes , p2p ficam tão ruins que são convencidos a não
usa-los , bloquear mesmo 'quase impossivel , mas torna-los ineficientes
essa é a minha receita.
[]'s
Em Qua, 2008-03-12 às 09:56 -0300, Tiago Isic Brasil escreveu:
> Bom dia a todos.
>
> Seguinte estou na lutar por vários dias em criar as rules para o
> snort_inline identificar o trafego p2p.
> Fiquei mais de 1 dia vendo payloads e mais payloads via tcpdump,
> tentando descobrir padroes quando os aplicativos clientes tentam a
> conexão. Bom estou no momento analizando o fonte do ipp2p para encontrar
> os benditos padroes, já consegui algumas coisas e criei em forma de
> rule, mas o problema " Ainda nao consegui criar as benditas regras do
> snort para bloquear pelo menos a tentativa de conexao ". Nao sou muito
> experiente em gerar as rules, mas estou tentato.
>
> Meu apelo, queria que o pessoal ajuda-se a criar essas regras em modo
> geral, seria de utilidade de todos. OU quem já possui em seu ambiente e
> funciona, por favor compartilhe, seja solidário com a comunidade.
>
> Pensem se conseguirmos bloquear o trafego p2p poderemos chamar mais
> adpetos para nosso Sistema Operacional.
>
> Segue abaixo as minhas rules geradas após analizar os fontes do ipp2p:
>
> #Analise de UDP
>
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Client -> Server status request"; content:"|e3 96|";)
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server -> Client status request"; content:"|e3 97|";)
>
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description request"; content:"|e3 a2|"; dsize:6;)
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e3 9a|";)
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e3 92|";)
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 20|";
> dsize:43;)
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 00|"; )
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 10|"; )
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 18|"; )
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 52|";
> dsize:44;)
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 58|"; dsize:6;)
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 59|"; dsize:2;)
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 28|"; )
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 50|";
> dsize:4; )
> reinject udp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 40|";
> dsize:48; )
>
>
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description request"; content:"|e3 a2|"; dsize:6;)
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e3 9a|";)
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e3 92|";)
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 20|";
> dsize:43;)
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 00|"; )
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 10|"; )
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 18|"; )
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 52|";
> dsize:44;)
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 58|"; dsize:6;)
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 59|"; dsize:2;)
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 28|"; )
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 50|";
> dsize:4; )
> reinject udp $EXTERNAL_NET any -> $HOME_NET any (msg:"P2P eDonkey eMule
> Kad commands Server description response"; content:"|e4 40|";
> dsize:48; )
>
>
> Tambem estou usando as rules padroes do snort o arquivo p2p.rules e
> tambem da bleeding-p2p.rules.
>
> E assim que conseguirmos essa proesa, já vai ter artigo passo a passo
> para a instalação e configuraçao do snort_inline +ipfw.
>
> att
>
> Tiago ISIC Brasil
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd