我正在尝试构建自定义入侵检测和防御系统 (IDS/IPS)。我找到了一个名为ROPE的好工具,它可以扫描数据包的有效载荷并丢弃不遵守规则的数据包,由脚本设置。这完全符合我的目的,因为我想要做的是检查某些特定文本的有效负载,然后将其删除或允许它(iptables 中的字符串功能对我没有任何好处,因为我想检查多个字符串在有效载荷中,如用户名、ID 等)。然而,ROPE 真的很旧,尽管我尝试了很多次,但还是没能正确安装它。
你知道任何类似的程序可以帮助我根据有效负载在 iptables 中丢弃数据包吗?
非常感谢任何建议:)
警告:前面有很长的哲学帖子。TLDR:再看看现有的可用解决方案。
我理解推出自定义解决方案的吸引力,我并不是说这话是油嘴滑舌的,但是:如果您在生产环境中进行部署,开发任何已经存在合理类似物的有意义的复杂基础设施是一个Bad Idea™,尤其是在安全领域。
在设计入侵检测系统(或配置管理系统、包分发系统或高级脚本语言)方面做得非常出色,需要对特定领域知识进行大量投资。如果您拥有这些知识,那么您可能已经参与了众多项目中的一个,这些项目填补了您感兴趣的特定领域;如果你不这样做,你将花费你雇主的大量时间和你自己的努力来开发你自己的解决方案的第 1 版,这与成熟的、社区支持的解决方案相比只能是平庸的。经过积极的专家多年来的改进。
系统管理员自然会看到问题并立即开始在脑海中设计解决方案:我们通常都具有创造性的才能和专业的积极性,我们喜欢解决问题,尤其是那些倾向于解决问题的大元问题激发这种雄心。成本效益方程往往不利于从头开始解决这些问题,尤其是当您可能通过为管理良好的现有项目做出贡献而获得更好的收益时。
很抱歉这么久了;我希望我已经设法为您考虑这个问题做出了一些有用的贡献。
| 归档时间: |
|
| 查看次数: |
688 次 |
| 最近记录: |