Regla de suricata para bloquear una pregunta particular del sitio web

2

Estoy escribiendo una regla para suricata que bloqueará la posibilidad de ingresar a uno de los sitios web, por ejemplo xyz.com (en lugar de Facebook, porque con Facebook hay algunos problemas).

Estoy haciendo esto de la siguiente manera:

drop tcp any any -> any any (msg:"facebook is blocked"; content:"facebook.com"; http_header; nocase; classtype:policy-violation; sid:1;)

Lo que quiero hacer es bloquear solo el sitio web. Y como lo hago ahora, la regla también bloquea, por ejemplo, las solicitudes de google que contienen la frase "facebook".

¿Puede alguien aconsejarme cómo debo cambiar mi regla? Estaba pensando limitarme solo a las direcciones IP de un sitio web en particular, pero no funciona correctamente o no sé cómo hacerlo correctamente en general. ¿Es suficiente cambiar "cualquiera" en el principio de la regla para la dirección IP de facebook? Pero algunos servidores tienen más de una dirección IP. ¿Cómo puedo obtener la dirección IP de facebook dentro de la regla?

editar:

¿Otra pregunta más es cómo puedo cambiar la cadena "abc" por "***" dentro de la regla?

    
pregunta jan kowalski 03.12.2015 - 13:28
fuente

1 respuesta

3

En lugar de la palabra clave http_header , use la palabra clave http_host . Se comparará específicamente con el encabezado "Host".

Para la coincidencia de comodines, debería echar un vistazo a PCRE: Guía del usuario de Suricata »Reglas de Suricata» Palabras clave de carga »pcre (Perl Expresiones regulares compatibles)

    
respondido por el Victor Julien 03.12.2015 - 16:09
fuente

Lea otras preguntas en las etiquetas