Синтаксически это кажется правильным, но ваш подход для этой цели не подходит. струнный патч соответствует строке в любом месте пакета:
- Вы отбрасываете любой пакет, который
смотреть или же .смотреть везде. Это может привести к ложным срабатываниям и даже вводит новый вектор для атак типа «отказ в обслуживании».
- Он не может обрабатывать зашифрованный трафик. Он не может заблокировать большая часть веб-трафика.
- Хотя у вас есть относительно хорошие варианты алгоритма сопоставления (
бм Бойер-Мур и кмп Knuth-Pratt-Morris), использование строкового фильтра по-прежнему требует больших вычислительных ресурсов.
Документация также явно предупреждает об этом:
Пожалуйста, используйте этот матч с осторожностью. Многие люди хотят использовать
это совпадение, чтобы остановить червей, вместе с целью DROP. это главное
ошибка. Он будет побежден любым методом обхода IDS.
Аналогичным образом, многие люди использовали этот матч в качестве
означает остановку определенных функций в HTTP, таких как POST или GET, путем удаления
любой HTTP-пакет, содержащий строку POST. Пожалуйста, поймите это
эта работа лучше выполняется фильтрующим прокси. Кроме того, любой HTML
содержимое со словом POST будет удалено с помощью первого метода.
Этот матч был разработан, чтобы иметь возможность стоять в очереди в пользовательскую зону.
интересные пакеты для лучшего анализа, вот и все. Отбрасывание пакета
на основе этого будет побежден любым методом обхода IDS.
Есть лучшие альтернативы тому, чего вы пытаетесь достичь:
- Фильтрация на основе DNS. Это может сделать любой DNS-сервер. Например., Днсмаск является обычным облегченным сервером пересылки DNS: вы можете просто добавить
адрес=/смотреть/0.0.0.0 к его конфигурации.
- Фильтрация на основе веб-прокси.
