LINUX.ORG.RU
ФорумAdmin

[хм][идея] Как банить соц сети не сипользуя ip и dns.


2

2

Я тут случайно обнаружил, что можно спокойно банить соцсети не используя ни ip, ни dns. Даже прокси врядле спасёт. Вот только с тором не пробовал.

Фокус в том чтобы дропать форвард на пакеты содержащие две строчки: remixchk и .dk.gwt. для вконтакта и однокласников соответственно.

Эти строчки были взяты из печенек.


iptables -A FORWARD -p tcp -m string --string "remixchk" --algo "kmp" -J DROP

iptables -A FORWARD -p tcp -m string --string ".dk.gwt." --algo "kmp" -J DROP

Может кто посоветовать улучшить сей алгоритм. Ибо он явно имеет некоторые изъяны.

★★★

Ответ на: комментарий от note173

А, блин, я вообще о парсинге пакетов. Одно дело, когда траффик около 10 Мбит/c, но совсем другое, когда 100 и более. Насколько нужно мощное железо, чтобы перемалывать столько пакетов, заглядывая внутрь каждого?

Chaser_Andrey ★★★★★ ()
Ответ на: комментарий от Chaser_Andrey

Такие строки в начале FORWARD цепочки:

1185 $FW -A FORWARD -m udp -p udp -m string --hex-string "|7F FF FF FF AB|" --algo kmp --from 40 --to 44  -j DROP
1186 $FW -A FORWARD -m udp -p udp -m string --hex-string "|7fffffff0003|" --algo kmp --from 36 --to 41 -j DROP
1187 $FW -A FORWARD -m udp -p udp -m string --hex-string "|0000000000380000|" --algo kmp --from 36 --to 43 -j DROP

eth2.801:  209.51 Mb/s In   924.18 Mb/s Out -  60891.0 p/s In   95816.0 p/s Out

Кушать не просит, два ядра по 3.33GHz.

Но нужно учесть что у меня --from --to указано, а это сильно меняет дело я думаю.

ventilator ★★★ ()
Ответ на: комментарий от ventilator

Другое дело что для бана веб сайтов применять такой подход мягко говоря не стоит.

ventilator ★★★ ()
Ответ на: комментарий от ventilator

строки в начале FORWARD

Это типа uTP режется, да? Не так глубоко в пакете любой мало-мальски нормальный коммутатор сейчас фильтровать может.

baka-kun ★★★★★ ()

Для фильтрации по тексту запросов нужно работать с пркиладным уровнем, то бишь использовать всякие прокси - это сказано в руководстве по iptables: http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#WHATISANIPF...

Почему так - там тоже сказано. Для Ъ: пакеты при пересылке через сеть фрагментируются, и строка, которую вы ищете, не попадется вам целиком, если начало ее будет в одном пакете, а конец - в другом. Для того, чтобы такая фильтрация все-таки давала эффект, нужно выполнять работу по поиску указанной подстроки в сериях последовательных пакетов из одного соединения, что создаст повышенную нагрузку на процессор.

iptables нужен для фильтрации на транспортном/сетевом уровнях.

pianolender ★★★ ()
Ответ на: комментарий от pianolender

На самом деле, лучший способ банить…

Лучший способ — иметь по дороге DPI более-менее работающий: SCE, например.

baka-kun ★★★★★ ()
Ответ на: комментарий от baka-kun

Опять пакетный фильтр же. Для контроля _содержания_ трафика не нужно смотреть отдельные пакеты, а нужно смотреть, какое урло запрашивает браузер.

pianolender ★★★ ()

интересное решение. Надо будет взять на усмотрение если чё.

DrF ()
Ответ на: комментарий от pianolender

Опять пакетный фильтр же.

С чего бы? DPI — Deep Packet Inspection. Анализ /содержания/ трафика от L2 до L7 хоть на уровне пакетов, хоть потоков, статистический анализ, поведенческий анализ, семантический, и так далее. Посмотри на ту же Cisco SCE на досуге.

baka-kun ★★★★★ ()
Ответ на: комментарий от baka-kun

> Опять пакетный фильтр же.

С чего бы?

Deep Packet Inspection

вот с чего. Глубокий анализ _пакетов_. Да неважно, собственно, не знаю, нужен ли такой слон в офисе (или где там ТС работает?)

pianolender ★★★ ()

Просто поставить прокси и на нем забанить? От SSH туннеля на 443 порт спасет только белый список хостов, если товарищ не палится. С другой стороны тот кто это осилил обычно в социалках не сидят.

elhana ()
Ответ на: комментарий от pianolender

вот с чего. Глубокий анализ _пакетов_.

Ну так IP — протокол передачи пакетов. Нормальный DPI собирает пакеты в потоки (flow) и анализ уже идет на уровне потоков (tcp сессий), их взаимосвязей (ftp-control+ftp-data, torrent) на уровне протоколов приложений (http).

Да неважно, собственно, не знаю, нужен ли такой слон в офисе

В крупном офисе — однозначно нужен. Там же и защита от DoS/DDoS, троянов, вирусов, спаммеров, утечек ДВП…

baka-kun ★★★★★ ()
Ответ на: комментарий от pianolender

лучший способ банить социальные сети

а как насчёт тырить пароли пользователей и (дальше по усмотрению)?

spunky ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.