类似Fail2ban使用Go语言编写的防DDOS攻击的探测系统:Crowdsec

20-10-20 banq

Crowdsec是一款开源的轻量级软件,可检测具有攻击性行为的对等节点,以防止其访问您的系统。其人性化的设计和协助提供了较低的技术进入门槛,但安全性却很高。

使用了Grok模式和YAML语法来分析日志,这是一种基于云/容器/ VM基础架构的现代分离方法(在此检测,在此进行补救)。一旦检测到,您就可以使用各种保护罩(阻止,403,验证码等)纠正威胁,并且被阻止的IP在所有用户之间共享,以进一步提高其安全性。它还会自动受益于我们全球社区范围内的IP信誉数据库。

处理过程分为5个步骤:

  1. 读取数据源(日志文件,流,路径,消息...),规范化和丰富信号
  2. 将这些信号与行为模式(也称为场景)匹配(*)
  3. 如果检测到不良行为,请通过保镖处理:集成到您的应用程序堆栈中的软件组件,该软件组件支持各种补救措施,例如阻止,返回403和很快的验证码,2FA等。
  4. (仅)积极的IP,方案名称被触发,然后将时间戳发送到我们的策展平台(以避免中毒和误报)
  5. 如果经过验证,则此IP将集成到连续分发给所有CrowdSec客户端的阻止列表中(在步骤1中用作丰富源)

通过检测,阻止和共享他们所面临的威胁,所有客户端都可以彼此增强(因此名为Crowd-Security)。Crowdsec专为现代基础架构而设计,其“检测到这里,在那儿进行补救”的方法,使您可以分析来自一个地方的多个来源的日志,并在堆栈的各个级别(应用程序,系统,基础架构)阻止威胁。

默认情况下,CrowdSec附带适用于大多数上下文的方案(蛮力,端口扫描,Web扫描等),但是您可以通过从集线器中选择更多方案来轻松扩展它。适应现有的或自己创建一个也很容易。

 

安装:

curl -s https://api.github.com/repos/crowdsecurity/crowdsec/releases/latest | grep browser_download_url| cut -d '"' -f 4  | wget -i -
tar xvzf crowdsec-release.tgz
cd crowdsec-v*
sudo ./wizard.sh -i

 

              

1
猜你喜欢