RES: [FUGSPBR] Bloqueio Kazaa

Marcello Silva Coutinho marcelloc em mdic.gov.br
Sex Ago 22 19:09:34 BRT 2003


    O snort ja detecta kazaa/morpheus, GNUTella, Napster e outros.
Basta fazer um script ou usar o guardian para pegar a saida do snort e
bloquear as pragas.

     Execute um segundo snort(caso ja exista um no ar) só com o p2p.rules
incluida em um arquivo de configuracão a parte. Pegue a saida do log do
snort e bloqueie todas as pragas.

ex:
sintaxe do snort:
snort -A fast -c /etc/snort/snortP2P.conf -l /var/log/snortP2P 

exemplo de script perl para bloquear os ips:
( o código não esta muito bonito, mas funciona)
#################################################################

#!/usr/bin/perl
# Script que mata a Praga P2P.
# Pode ser alterado e distribuido, desde que mantenha este cabecalho
# Feito por Marcello Silva Coutinho
# CONFIGURACOES##################################################
$alert="/var/log/snortP2P/alert"; #Log do snort com o p2p.rules
$sua_rede="192.168.0";            # Faixa ip da sua rede
$regra="00100";                   # Numero da Regra no ipfw
#################################################################
$|++;
open (F,"tail -f -10 $alert|") || die "Erro ao abrir log\n $! \n ";
while (<F>)
     {
     chomp;s@>@-@;
     $_ =~ s/:/ /g;$_ =~ s/-/ /g; $_ =~ s/   //g;
     if (/p2p/i)
      {
      ($ipO,$ipD) = (split(/\ /))[-2,-4];
      #print "$ipO $ipD \n";
      if ($ipD !~ /$sua_rede/){$ip_tmp = $ipD;$ipD = $ipO;$ipO = $ip_tmp;}
      bloq(ipO);
      }
     }
sub bloq
      {
     next if $lastip==$ipO;
     next if !system("ipfw lis | grep $ipO | grep ^00$regra > /dev/null");
     $lastip= $ipO;
     print `ipfw add $regra reject ip from $ipO to any\n`;
     print `ipfw add $regra reject ip from any to $ipO\n`;
      }
exit;


########################################################################

att,
Marcello Silva Coutinho
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd