如何在自定义入侵检测系统中丢弃数据包

如何在自定义入侵检测系统中丢弃数据包

我正在尝试构建自定义入侵检测和预防系统 (IDS/IPS)。我发现了一个很棒的实用程序,名为绳索它可以扫描数据包负载并丢弃不符合脚本设置的规则的数据包。这完全满足了我的目的,因为我想要做的是检查负载中的某些特定文本,然后丢弃或允许它(iptables 中的字符串功能对我没什么用,因为我想检查负载中的多个字符串,如用户名、id 等)。但是,ROPE 真的很老了,尽管我尝试了很多次,但我还是没能正确安装它。

您是否知道任何类似的程序可以帮助我根据有效载荷在 iptables 中丢弃数据包?

任何建议都非常感谢:)

答案1

我之前曾在家庭实验室使用 snort 和 fwsnort 生成 iptables 规则进行过测试。你看过这个吗?

答案2

警告:前面是一篇很长的哲学文章。TLDR:再看一遍现有的解决方案可用的。

我理解推出定制解决方案的吸引力,我这样说并不是想敷衍了事,但是:如果您在生产环境中进行部署,那么开发任何有意义的复杂基础设施(其合理类似物已经存在)都是一个坏主意™,尤其是在安全领域。

要想设计出一款出色的入侵检测系统(或配置管理系统、包分发系统或高级脚本语言),需要对特定领域的知识进行大量投资。如果你具备这些知识,那么你可能已经参与过以下项目之一:那里有很多项目那就是填补你感兴趣的特定领域;如果你不这样做,你将花费大量的雇主的时间和你自己的精力来开发你自己的解决方案的 1 版,而与成熟的、社区支持的、经过积极主动的专家多年来不断改进的解决方案相比,这个解决方案只能是平庸的。

系统管理员的本能就是看到问题后立即在脑海中设计解决方案:我们通常既有创造力又有职业动力,我们喜欢解决问题,尤其是那些往往会激发这种雄心壮志的大型元问题。成本效益方程式往往不赞成从头开始解决这些问题,尤其是当你可以通过为管理良好的现有项目做出贡献来获得更好的回报时。

抱歉说了这么久;我希望我能为您考虑这个问题提供一些有用的贡献。

答案3

@Tzoukos - 从你的问题来看,你实际上描述的并不是 IDS 或 IPS,而是深度检查防火墙。

Snort 绝对可以做到您所描述的一切,而且如前所述,它拥有大量免费可用的签名……但如果您正在寻找其他选项,请不要将搜索范围仅限于 IDS/IPS 解决方案。从免费到价格高得惊人的各种价位的解决方案都有很多 :-)

相关内容