Bom pessoal, Depois de muito insistir, consegui uma regra pro snort que detecta um possível ultrasurf, essa regra não é minha :D segue a regra, e a explicação que me deram:
" alert udp $HOME_NET any -> !$HOME_NET 53 (msg: "Consulta de DNS Externo - Possivel Ultrasurf"; content:"|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|"; classtype: policy-violation; sid: 1000059; rev:1; ) Verificamos nos teste de laboratório que o único fator comum em todas as versões do Ultrasurf analisadas(até a versão 9.0), é a consulta a servidores DNS externos com um pacote distinto de uma consulta normal ao DNS, o pacote possui 554 Bytes sendo 480 Bytes iguais a 0(zero). Ou seja, sempre que pacotes UDP com destino a porta 53 preenchidos com zeros forem detectados, alertar como "Consulta de DNS Externo - Possivel Ultrasurf". " Ai aproveitando o gancho, criei um active-response com OSSEC + Snort, ele automaticamente bloqueia os usuários que possivelmente estão utilizando o Ultrasurf, eu segui o tutorial do Rodrigo: http://www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf Bom, se alguém tiver sugestão ou quiser dar uma melhorada, fique a vontade :) Abs[] -- ------------------------------ "Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa." FreeBSD: The Freedom to Perform! http://www.spreadbsd.org/aff/40/1 ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
