Артем Енин, на основании нескольких подряд событий заблокированного трафика можно включить временную блокировку всего трафика от этого узла, чтобы даже в логи ничего не попадало (ну или пусть количество попыток соединения после блокировки попадает, что будет основанием по результатам анализа блокировку продлить), для программных файрволлов решением такого рода является fail2ban (советую почитать принцип его работы), для pfsense может найтись или модуль или функция с тем же назначением.
А узнавать не надо с такими-то логами, брутят.
Вот что ещё делать, помимо настройки триггера на подобный брут и действий по нему - вопрос более серьезный, здесь эксперт по файрволлам нужен, а не любитель :)
test2235, при передаче от клиента к серверу - всё, что blob, преобразуется, всё что названо текстом - нет (по умолчанию, некоторые сайты прогоняют текст из полей в base64 вручную и результат уже отправляют). При передаче от сервера клиенту - бинарные данные ходят как есть, но в ответе должен стоять заголовок Content-Type, указывающий клиенту, какого типа данные ему передаются (скажем, "image/jpeg"), и Content-Length, чтобы клиент знал, сколько байт ему читать, после чего клиент их интерпретирует как есть. По-моему так.
test2235, дык протокол HTTP изначально не рассчитывался на передачу бинарных данных, эту фичу потом допиливали в условиях уже появившихся ограничений . Даже несчастный <img src="..."> и тот пришлось отдельно впиливать, уже в HTML, и обеспечивать возможность передачи изображений (и потом отдельно файлов) в HTTP. Легаси как оно есть.
Дмитрий Шумов, а в самом деле, если 8.1 развернутся в коллекцию, может дело и в десятке. Веселая штука, обидно только, что просит выделенный хост, которых в досягаемости немного нет - но это мои проблемы.
test2235, если вы посмотрите, как именно передаются бинарные данные в HTTP/1.1, сильно удивитесь - там base64, т.е. принудительная конвертация в текстовые. Именно поэтому HTTP/1.1 является текстовым - все его элементы должны быть строками и подчиняться парсингу по разделителям. Передавать текст как бинарные данные проблем просто не составляет - отправляете поток байт и всё.
ОП имеет в виду, что данных о "врагах" нет, и действия "врагов" (выбор героя на схватку, покупка герою конкретного платного облика) считаются имеющими равновероятное распределение.
Константин Антонов, ну да, но из текста вопроса не совсем понятно, портятся ACL или нет. Я писал ответ, поняв ситуацию как потерю самих ACL, потом в голову пришла другая мысль, про расхождение времени и керберос.
Как вариант - эникейство в мелком аутсорсере. Удастся похватать не только винды, но и всякие линуксы, 1С, VMware, АТС и провода где угодно, железо всех возрастов и возможностей, с теми же основными проблемами.
Ezhyg, по умолчанию при заходе по SMB винда даже без запроса передает NTLM-хэш текущего пользователя. Так что если есть возможность, нужно не предлагать такой дерзости.
Alex R, как вариант, если вдруг вы подключите своё устройство в другом углу их сети, айпишник переедет вместе с ним, без каких-либо телодвижений со стороны провайдера.
Какого типа VPN-канал между офисами в Волгограде? Если L3, разноси подсети и пиши роутинг на новую подсеть на файрволле Еревана. Если L2, вначале смотри, не упираешься ли в MTU на этом канале, равно как и на VPN-канале до Еревана.
А узнавать не надо с такими-то логами, брутят.
Вот что ещё делать, помимо настройки триггера на подобный брут и действий по нему - вопрос более серьезный, здесь эксперт по файрволлам нужен, а не любитель :)