O Snort é capaz de demux e registrar com eficiência grandes solicitações HTTP POST?

1

Estou tentando depurar algumas solicitações HTTP POST com falha que contêm uploads de arquivos grandes (~ 500 MB). O usuário final está recebendo respostas HTTP estranhas que não estão sendo registradas no recurso varnishncsa do verniz, no recurso varnishlog do verniz ou em qualquer um dos logs internos do servidor da web. Como não sou capaz de duplicar o problema (pode ser resultado de um proxy do ISP), estou tentando encontrar algumas opções para registrar a solicitação inteira (identificada por URL) e reproduzi-la posteriormente em um servidor de desenvolvimento ou de teste.

Parece que o Snort pode ser a melhor maneira de abordar o problema, pois ele nos permite registrar os pacotes de entrada antes que eles sejam (mal) interpretados, mas eu estou preocupado com a possibilidade de introduzir uma latência significativa, sobrecarga de memória ou outros imprevistos com solicitações tão grandes. Toda a correspondência que precisaremos fazer será baseada na URL, então apenas o primeiro kb precisará ser filtrado, mas precisamos do resto da solicitação para reproduzir novamente.

Estou vendo o readme.stream5 nos documentos do snort, o que faz com que isso pareça possível e razoável, mas a lacuna entre os documentos e o mundo real pode ser bastante ampla.

Snort é bem adequado para esta tarefa? Há alguma otimização que eu possa aplicar para evitar sobrecarga excessiva de memória, disco ou processador? Se você não acredita que o Snort está bem adaptado a essa tarefa, que abordagem você sugere?

A instalação do servidor é distribuída globalmente em caixas headless que executam uma configuração recente do Linux, portanto, qualquer solução deve ser programável, automatizada e capaz de relatar-me de alguma forma que capturou solicitações.

    
por Israel Zion Shirk 23.12.2012 / 22:00

0 respostas