我试图build立一个自定义的入侵检测和预防系统(IDS / IPS)。 我发现了一个名为ROPE的优秀实用程序,它可以扫描数据包有效负载,并丢弃不遵循由脚本设置的规则的数据包。 这完全服务于我的目的,因为我想要做的是检查有效载荷的一些特定的文本,然后放下或允许它(在iptables的stringfunction不会对我有什么好处,因为我想检查多个string在有效载荷中,如用户名,身份证等)。 但是,ROPE真的很老,尽pipe我尝试了很多次,但还没有正确安装。
你知道任何类似的程序,这将有助于我丢弃数据包在iptables取决于有效载荷?
任何build议是非常感谢:)
我已经在我的家庭实验室用snort和fwsnort生成iptables规则进行了testing。 你看过吗?
警告:长期,哲学的岗位在前面。 TLDR:再看看现有的解决scheme 。
我理解推出定制解决scheme的吸引力,我并不是想说这些,但是:如果你正在生产环境中部署,那么开发任何已经存在合理类似物的有意义的复杂基础设施就是糟糕的想法™,尤其是在安全领域。
devise一个入侵检测系统(或configurationpipe理系统,或包分发系统,或高级脚本语言)做得非常好,需要对领域特定的知识进行巨大的投资。 如果你有这方面的知识,你可能已经参与了许多项目中的一个, 这些项目正在填补你感兴趣的特定领域。 如果你不这样做,你将花费大量的时间和你自己的努力来开发你自己的解决scheme的版本1,与成熟的,社区支持的解决scheme相比,这不可避免地会是平庸的积极主动的专家经过多年的磨练,
系统pipe理员是一个天然的系统pipe理员,可以立即开始为我们devise一个解决scheme:我们通常既具有创造性,又具有专业动机,我们喜欢解决问题,尤其是倾向于解决问题的大型元问题激发这种野心。 成本效益方程只是倾向于不从头开始解决这些问题,尤其是当您可以通过为pipe理良好的现有项目做出贡献而获得更好的效果时。
对不起,这么久了, 我希望我已经设法为您考虑这个问题提供有用的东西。
@Tzoukos – 从你的问题来看,你实际上并没有描述IDS或IPS,而是一个深度检测防火墙。
Snort绝对可以完成你所描述的所有function,并且提供了大量的免费签名…但是如果你正在寻找其他的select,不要把你的search限制在IDS / IPS解决scheme中。 从免费到惊人的昂贵的所有价格点有许多解决scheme:-)