Outro Como posso bloquear apenas Websockets específicos?

Pedro Medeiros da Silva · 10 de março de 2023

Oi pessoal. Suspeito de atividade maliciosa em um programa que estou executando. Como posso bloquear apenas websockets específicos e permitir que outros continuem em execução? Percebi isso usando o Wireshark. Devo usar um firewall DPI? Existe uma maneira mais fácil? Obrigado!

herbertbahia · 10 de março de 2023

Uma abordagem possível é usar um firewall DPI (Deep Packet Inspection), que é capaz de analisar o conteúdo dos pacotes de dados em tempo real e bloquear aqueles que correspondem a padrões maliciosos. No entanto, essa abordagem pode ser complexa e pode afetar outros serviços que usam websockets.

Uma abordagem mais simples é bloquear os websockets específicos no nível do aplicativo, por meio de configurações ou código específico. Por exemplo, se o programa que você está executando fornece uma configuração para especificar o endereço do servidor websocket, você pode bloquear o endereço malicioso nessa configuração ou adicioná-lo a uma lista negra. Se o programa não fornecer uma opção de configuração para isso, você pode modificar o código fonte do programa para bloquear os websockets específicos.

Outra opção é usar ferramentas de segurança de rede, como IDS (Intrusion Detection Systems) e IPS (Intrusion Prevention Systems), que podem detectar e bloquear tráfego malicioso em tempo real. Essas ferramentas geralmente usam assinaturas e heurísticas para detectar atividades maliciosas e podem ser configuradas para bloquear websockets específicos.

Independentemente da abordagem escolhida, é importante monitorar continuamente o tráfego de rede e manter as defesas atualizadas para garantir a segurança do sistema.

Pedro Medeiros da Silva · 10 de março de 2023

Obrigado pela resposta... A primeira opção acredito que seja viável sim, mas queria ver se tinha outra maneira.

A segunda não daria certo, pois se eu bloquear a conexão total, eu perco os Websockets normais. Ele usa a mesma conexão para o Websocket, mas algumas são normais e outros não. Se fosse assim, eu só bloquearia por TCP. Código fonte também não dá para eu alterar.

Essas outras duas dariam para fazer? Ou só me resta me quebrar com DPI?