Differences

This shows you the differences between two versions of the page.

--- dpi_из_подручных_материалов [2024/05/13 08:49]
val
+++ dpi_из_подручных_материалов [2024/05/15 11:28] (current)
val [DPI из подручных материалов]
@@ Line 1: / Line 1: @@
 ====== DPI из подручных материалов ======
+  * [[https://habr.com/ru/articles/813799/|DPI из подручных материалов]]
 Всем привет!
-Однажды, много лет назад, во времена эпидемии вируса [[https://ru.wikipedia.org/wiki/Code_Red|Code Red]], я работал сисадмином в одном вузе и невежливо ответил на электронное письмо из какого то-банка с требованием немедленно прекратить атаку на их веб сервер Apache, через месяц пришло бумажное письмо от их службы безопасности, и завертелось. Так я познакомился с системой [[https://ru.wikipedia.org/wiki/Snort|Snort]], которая некоторое время защищала Интернет от наших студентов. Со временем, большая часть трафика стал https, и решение потеряло смысл, но есть места, где он снова превращается в http, например после https прокси. Тут то мы и сможем "подсмотреть", выявить атаки и заблокировать злоумышленника!
+Однажды, много лет назад, во времена эпидемии вируса [[https://ru.wikipedia.org/wiki/Code_Red|Code Red]], я работал сисадмином в одном вузе и невежливо ответил на электронное письмо из какого то-банка с требованием немедленно прекратить атаку на их веб сервер, работающий под управлением Apache, через месяц пришло бумажное письмо от их службы безопасности, и завертелось. Так я познакомился с системой [[https://ru.wikipedia.org/wiki/Snort|Snort]], которая некоторое время защищала Интернет от наших студентов. Со временем, большая часть трафика стала https, и решение потеряло смысл, но, есть места, где он снова превращается в http, например после https прокси. Тут то мы и сможем его "подсмотреть", выявить атаки и заблокировать злоумышленника!
-Что бы было интереснее, не будем рассматривать [[https://youtu.be/oIczkkD-hOU?si=tb7ucLRAdH2rbSVL|реальный кейс]], а воспроизведем все "в домашних условиях". На единственной системе развернем https прокси, веб приложение за ним и защитим от атак на основе анализа содержимого http запросов.  Потребуется VirtualBox (или любой другой гипервизор) и дистрибутив Linux, например Ubuntu, там Snort имеется в виде пакета. Можно взять готовый ova образ:
+Что бы было интереснее, не будем рассматривать [[https://youtu.be/oIczkkD-hOU?si=tb7ucLRAdH2rbSVL|реальный кейс]], а воспроизведем все "в домашних условиях". На единственной системе развернем https прокси, веб приложение за ним, и защитим от атак на основе анализа содержимого http запросов.  Потребуется VirtualBox (или любой другой гипервизор) и дистрибутив Linux, например Ubuntu, там Snort имеется в виде пакета. Можно взять мой готовый ova образ:
 https://val.bmstu.ru/unix/img/My%20Documents/ubuntu_24.04_01.ova
-и выполнить 1-й шаг из [[https://habr.com/ru/articles/716454/|этой статьи]]:
+и выполнить 1-й шаг из [[https://habr.com/ru/articles/716454/|этой статьи]]
 ===== Шаг 2. Разворачиваем http приложение =====
@@ Line 80: / Line 82: @@
 <code>
-# nano /etc/snort/snort.debian.conf
+# less /etc/snort/snort.debian.conf
 </code><code>
 ...
@@ Line 110: / Line 112: @@
 </code>
-Для тестирования будем использовать тот самый злополучный CodeRed, для которого, как раз, есть правило "из коробки":
+Для тестирования будем использовать тот самый злополучный Code Red, для которого, как раз, есть правило "из коробки":
 <code>
@@ Line 138: / Line 140: @@
 <code>
 # u2spewfoo /var/log/snort/snort.alert
+</code><code>
 ...
         priority: 1     ip source: 172.17.0.1   ip destination: 172.17.0.2

Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Differences

Page Tools