snort sabe como lidar com solicitações e respostas HTTP compactadas. Então, configurar snort no modo inline e escrever regras com file_data antes que a palavra-chave content faça isso.
Eu estou olhando para deixar cair uma conexão se um site contém uma determinada palavra ou frase. O problema é que o site normalmente é compactado com gzip. Alguma idéia?
snort sabe como lidar com solicitações e respostas HTTP compactadas. Então, configurar snort no modo inline e escrever regras com file_data antes que a palavra-chave content faça isso.