Về mặt cú pháp, điều này có vẻ đúng, nhưng cách tiếp cận của bạn không phù hợp cho mục đích này. Các vá chuỗi khớp với một chuỗi ở bất kỳ đâu trong gói:
- Bạn đang bỏ bất kỳ gói nào có
đồng hồ hoặc .đồng hồ bất cứ đâu. Điều này có khả năng gây ra các kết quả dương tính giả và thậm chí còn giới thiệu một vectơ mới cho các cuộc tấn công từ chối dịch vụ.
- Nó không thể xử lý lưu lượng được mã hóa. Nó không thể chặn phần lớn lưu lượng truy cập web.
- Mặc dù bạn có các tùy chọn tương đối tốt cho thuật toán so khớp (
bm BoyerâMoore & kmp KnuthâPrattâMorris), việc sử dụng bộ lọc chuỗi vẫn có thể được tính toán chuyên sâu.
Tài liệu này cũng cảnh báo rõ ràng về điều này:
Vui lòng sử dụng trận đấu này một cách thận trọng. Rất nhiều người muốn sử dụng
trận đấu này để ngăn chặn sâu, cùng với mục tiêu DROP. Đây là một chuyên ngành
sai lầm. Nó sẽ bị đánh bại bởi bất kỳ phương pháp trốn tránh IDS nào.
Theo cách tương tự, rất nhiều người đã sử dụng trận đấu này như một
có nghĩa là dừng các chức năng cụ thể trong HTTP như POST hoặc GET bằng cách thả
bất kỳ gói HTTP nào chứa chuỗi POST. Xin hãy hiểu rằng
công việc này được thực hiện tốt hơn bởi một proxy lọc. Ngoài ra, bất kỳ HTML
nội dung có từ POST sẽ bị loại bỏ với phương thức cũ.
Trận đấu này đã được thiết kế để có thể xếp hàng vào vùng người dùng
các gói thú vị để phân tích tốt hơn, vậy thôi. thả gói
dựa trên điều này sẽ bị đánh bại bởi bất kỳ phương pháp trốn tránh IDS nào.
Có những lựa chọn thay thế tốt hơn cho những gì bạn đang cố gắng đạt được:
- Lọc dựa trên DNS. Bất kỳ máy chủ DNS nào cũng có thể thực hiện việc này. Ví dụ., dnsmasq là một trình chuyển tiếp DNS nhẹ phổ biến: bạn chỉ cần thêm
địa chỉ=/đồng hồ/0.0.0.0 đến cấu hình của nó.
- Lọc dựa trên proxy web.
