Как отбросить пакеты в пользовательской Системе обнаружения проникновения
Я протестировал в своей лаборатории дома прежде с фырканьем и fwsnort генерация правил iptables. Вы посмотрели на это?
Предупреждение: длинное, философское сообщение вперед. TLDR: имейте другой взгляд на существующие решения, которые доступны.
Я понимаю обращение прокрутки настраиваемого решения, и я не означаю быть бойким в высказывании этого, но: если Вы развертываетесь в продуктивной среде, разрабатывая какую-либо значительно сложную часть инфраструктуры, для которой уже существуют разумные аналоги, Плохой Idea™, наиболее особенно в области безопасности.
Выполнение действительно отличной работы по разработке системы обнаружения проникновения (или система управления конфигурацией, или система распределения пакета или высокоуровневый язык сценариев) требует огромных инвестиций в проблемно-ориентированное знание. Если у Вас есть то знание, Вы, вероятно, уже связаны с одним из многих проектов там, это заполняет конкретную нишу, которой Вы интересуетесь; если Вы не делаете, Вы собираетесь провести много времени своего работодателя и своего собственного усилия разработать версию 1 Вашего собственного решения, которое не может не быть посредственно сравненный со сформировавшимися, общественными поддерживаемыми решениями, которые были усовершенствованы в течение лет мотивированными специалистами.
Это - естественная область системных администраторов, чтобы посмотреть на проблему и немедленно начать разрабатывать решение для него в наших головах: мы обычно и творчески талантливы и профессионально мотивированы, и мы любим решать проблемы, особенно большие метапроблемы, которые имеют тенденцию вдохновлять этот вид стремления. Уравнение затрат-выгод просто имеет тенденцию не удаваться в пользу решения тех проблем с нуля, особенно когда можно, вероятно, получить лучший удар для маркера путем содействия хорошо управляемому существующему проекту.
Извините, что продолжал так долго; я надеюсь, что мне удалось внести что-то полезное для Вашего рассмотрения проблемы.
@Tzoukos - от Вашего вопроса Вы на самом деле не описываете IDS или IPS, но глубокий инспекционный брандмауэр.
Фырканье может абсолютно сделать все, что Вы описали, и, как упомянуто имеет богатство в наличии подписей для свободного..., но если Вы ищете другие опции, не ограничивайте свой поиск просто IDS/решениями системы IPS. Существует много решений по всем стандартным ценам от свободного до потрясающе дорогого :-)