ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 系统相关> 文章详细

Crowdsec:一款面向Linux的现代化协作式大型多人防火墙

2021-03-08 19:33:30  阅读:231  来源: 互联网

标签:攻击 IP Crowdsec 防火墙 开源 Fail2Ban Linux 日志 CrowdSec


介绍

CrowdSec是一款大型多人防火墙,旨在通过服务器端代理保护互联网上敞开的Linux服务器、服务、容器或虚拟机。它受Fail2Ban的启发,旨在成为这款入侵防御工具的现代化协作版本。

CrowdSec免费开源(采用MIT许可证),源代码发布在GitHub上。它使用行为分析系统,根据日志来确定是否有人企图攻击您。如果您的代理检测到这类攻击,会处理违规的IP,并发送加以审查。如果该信号通过审查过程,该IP被重新分发给共享相似技术配置文件的所有用户,让他们免受该IP的侵袭。

目的是利用群体的力量来创建实时IP信誉数据库。至于攻击您计算机的IP,您可以选择以自己觉得合适的任何方式对付威胁。最终,CrowdSec利用社区的力量创建了一个极其准确的IP信誉系统,惠及其所有用户受益。

在创始人看来很显然,开源将是CrowdSec的主要支柱之一。该项目的创始人从事开源项目已有几十年,他们不仅追随开源,确切地说坚定地信仰开源。他们认为,社区是对付我们面临的大规模黑客攻击的关键,而开源是创建社区,并让人们为项目贡献知识,最终使该项目变得更出色更安全的有力手段。

该解决方案最近迎来了1.x版本,带来了架构上的重大变化:引入了本地REST API。


 

CrowdSec的工作原理

CrowdSec用Golang编写,目的在于在复杂的现代架构(比如云、lambda和容器)上运行。为此,它是“分离的”,这意味着您可以“在这里检测”(比如在数据库日志中)和“在那里缓解”(比如在防火墙或rproxy中)。

该工具在内部使用漏桶算法(leaky bucket),以便严格控制事件。场景用YAML编写,尽可能简单易读,又不牺牲精细度。推理引擎让您可以从链桶(chain bucket)或元桶(meta-bucket)获取洞察力,这意味着如果多个桶(比如Web扫描、端口扫描和登录尝试失败)溢出到一个“元桶”中,您可以触发“针对性攻击”缓解措施。

激进的IP使用互联网保镖(bouncer)来处理。CrowdSec Hub提供了现成的数据连接器、互联网保镖(比如ginx、PHP、Cloudflare或Netfilter)和场景,以阻止不同类别的攻击。这些保镖可通过多种方式来缓解威胁。

Crowdsec可在Captcha之类的保镖上工作,限制可适用的权限、多因子身份验证、遏制查询,或者需要时激活Cloudflare攻击模式。通过轻量级的可视化界面和强大的Prometheus可观察性,您可以了解本地发生的情况(以及发生的地方)。


 

众包安全

尽管Crowdsec软件目前看起来像是改进的Fail2Ban,但该项目的目的是利用群体的力量,创建高度准确的IP信誉数据库。CrowdSec拦截特定IP时,触发的场景和时间戳被发送到我们的API,接受检查,并添加到全球不良IP数据库中。

虽然我们已经在向社区重新分发阻止名单,但计划一旦处理了,其他先决代码行就真正改善这一方面。网络已经发现了超过130000个IP(每天在更新),能够将其中的约10%(13000个)重新分发给我们的社区成员。

我们的愿景是,一旦CrowdSec社区足够大,我们就会实时生成最准确的IP信誉数据库。这种全球信誉引擎加上本地行为评估和缓解,有望让许多企业可以以很低的成本获得更严格的安全。

案例探究

以下是表明CrowdSec本领的两个例子:

案例1

一家保护客户免受DDoS攻击的公司创建了依赖Fail2Ban的DDoS缓解策略。当其中一个客户受到涉及7000台机器的僵尸网络的攻击时,CrowdSec能够摄取所有日志,并成功阻止了僵尸网络中超过95%的机器,在不到五分钟的时间内有效地缓解了攻击。不妨比较一下,要应对这种攻击,Fail2Ban将需要每分钟处理几千条日志,这颇具挑战性,将花费近50分钟。

案例2

一家电子商务公司正遭到大规模信用卡填塞攻击。攻击者正向支付网关发送垃圾邮件,并使用唯一的IP地址测试成千上万不同的信用卡资料。这家公司安装CrowdSec后,即可扫描所有日志,在短短几分钟内阻止入侵,而不用修改所有应用程序以试图检测攻击。

最后,特别推荐一个分享C/C++和算法的优质内容,学习交流,技术探讨,面试指导,简历修改...还有超多源码素材等学习资料,零基础的视频等着你!

还没关注的小伙伴,可以长按关注一下:


 

文章来源:https://segmentfault.com/a/1190000039328582?utm_source=tuicool&utm_medium=referral

 

标签:攻击,IP,Crowdsec,防火墙,开源,Fail2Ban,Linux,日志,CrowdSec
来源: https://www.cnblogs.com/mu-ge/p/14501641.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有