
<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Mar 11, 2014 at 9:22 AM, mikael vingaard <span dir="ltr"><<a href="mailto:mikaelvingaard@gmail.com" target="_blank">mikaelvingaard@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><br><div>I would like to use a large list of domains (100+) to block/alert in Suricata.<br>

</div></div></blockquote><div><a href="https://lists.openinfosecfoundation.org/pipermail/oisf-users/2013-January/002271.html">https://lists.openinfosecfoundation.org/pipermail/oisf-users/2013-January/002271.html</a><br></div>

<div>I'd like to see SafeBrowsing brought to Suricata,  you'd have to keep a local copy of it to be very quick. IE and maybe a few hold out browsers that don't use the safebrowsing API so it might not be all that worth while.<br>

</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><br></div><div>Using a rule with {domain1,domain2,domain3} would be too cumbersome,<br>

</div>

<div></div><div>but I has found a method of blocking MD5 sums (source <a href="http://blog.inliniac.net/2012/06/09/suricata-md5-blacklisting/" target="_blank">http://blog.inliniac.net/2012/06/09/suricata-md5-blacklisting/</a>)<br>

</div><div>

-almost similar to what I would like to achieve with domains.<br></div></div></blockquote><div>Safebrowsing uses an alternate hashing method, and there are even other search engines now with similar API's to googles: <a href="http://api.yandex.com/safebrowsing/">http://api.yandex.com/safebrowsing/</a> <a href="https://developers.google.com/safe-browsing/">https://developers.google.com/safe-browsing/</a><br>

</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br><div dir="ltr"><div></div><div>Could someone assist me in writing a similar rule with domains<br>

</div></div></blockquote></div></div></div>