Привет, народ! Я пытаюсь отфильтровать атаку зондирования, чтобы она не доходила до всех моих веб-серверов. Обидная строка в логах сервера выглядит так: POST / HTTP/1.1" 403 1296 “-” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)". Я не смог реализовать фильтрацию на основе содержимого пакета, поэтому хочу добиться успеха с помощью сопоставителя уровня 7. Некоторые пакеты обнаруживаются и блокируются, просто добавив эту строку, но лог-записи всё равно появляются. Это заставляет меня думать, что, возможно, некоторые из этих запросов приходят через 2 или более пакетов, обходя таким образом сопоставитель содержимого другим способом. Уровень 7, согласно руководству, будет проверять 10 пакетов на наличие обидного содержимого. Так я попробовал добавить эту строку как регулярное выражение, но похоже, что ничего не обнаруживается. Есть ли руководство или руководство о том, как на самом деле создавать правило уровня 7, основываясь на том, что я вижу в пакетах, когда запускаю сниффер? Я выложил фото подозрительного пакета и фильтр содержимого, который не может его поймать. Может быть, у кого-то из вас есть предложение, как предотвратить прохождение этих запросов через брандмауэр. 
