Regola Suricata per bloccare una particolare domanda sul sito

2

Sto scrivendo una regola per suricata che bloccherà la possibilità di inserire uno dei siti Web ad esempio xyz.com (invece di facebook, perché con facebook ci sono alcuni problemi).

Lo faccio in questo modo:

drop tcp any any -> any any (msg:"facebook is blocked"; content:"facebook.com"; http_header; nocase; classtype:policy-violation; sid:1;)

Quello che voglio fare è bloccare solo il sito web. E nel modo in cui lo faccio ora, la regola sta anche bloccando ad esempio le richieste a google che contengono la frase "facebook".

Qualcuno potrebbe consigliarmi come dovrei cambiare la mia regola? Stavo pensando di limitare solo agli indirizzi IP di un determinato sito Web, ma non funziona correttamente o non so come farlo correttamente nella regola. È sufficiente cambiare "qualsiasi" all'inizio della regola per l'indirizzo IP di Facebook? Ma alcuni server hanno più di un indirizzo IP. Come posso ottenere l'indirizzo IP di facebook nella regola?

modifica:

Un'altra domanda è come posso cambiare la stringa "abc" per "***" all'interno della regola?

    
posta jan kowalski 03.12.2015 - 13:28
fonte

1 risposta

3

Al posto della parola chiave http_header , utilizza la parola chiave http_host . In particolare, combacia con l'intestazione "Host".

Per la corrispondenza con caratteri jolly dovresti dare un'occhiata a PCRE: Guida utente Suricata »Regole Suricata» Parole chiave payload »pcre (Espressioni regolari compatibili Perl)

    
risposta data 03.12.2015 - 16:09
fonte

Leggi altre domande sui tag