CrowdSec — защита от сетевых атак

crowdsec.net

Имея созвучное название, но являясь всё же функциональным антонимом конторы, в прошлом месяце эпично уронившей весь корпоративный мир на Шиндовс, CrowdSec предлагает инструмент комплексной разведки угроз для помощи админам в защите сервера, собирая базу сигнатур атак. Например, IP, засвеченных в DDoS, ботнетах, VPN, прокси и т.д.

База пополняется на 10+ млн адресов в день 70000+ активных пользователей в 190+ странах мира. Гарантирует ноль ложных срабатываний: быстрые удаление убранных из чёрных списков IP и добавление новых за счёт ежедневной замены 5% базы. Благодаря большой коллекции сценариев атак даёт возможность новичкам не париться с созданием своих правил (что тоже возможно).

Таким образом пользователь получает список сигнатур, собранный людьми, попавшими под атаку с минимальным (если вообще) процентом ложных срабатываний, чего не избежать при блокировке целых подсетей IP-адресов взломанного, допустим, VPN, когда в атаке они все задействованы не были. Чёрные списки не могут дать такую гибкую защиту.

📌 Детали

  • открытый исходный код на Go
  • разработка французской коммерческой компании, без рекламы, с трекингом входящих запросов (сбор IP, времени и сценария для анализа нейронкой и фильтрации легитимных) ~ селфхостинг под Linux, FreeBSD и Windows, в т.ч. через Dockerинтеграция со множеством других инструментов
  • консольный интерфейс и настраиваемая графическая панель управления с подробным контекстом атак (метод запроса, целевой адрес, ответ приложения, user-agent и др.)
  • уведомления об атаках, настройка реакции защищаемого приложения ~ открытый API
  • сообщество на форуме и в Discord
  • продвинутая документация

ИМХО:  Децентрализованный подход к таким инструментам, кажется, действительно эффективнее традиционного — вероятность атаки на ханипоты, только для приманки и созданные, меньше, чем у атак на реальные цели. Плюс эти цели не принадлежат одной организации, следовательно собирают базу максимально разнообразных сигнатур. Алсо Опиум спрашивал про этичный антидудос — чекай. Не совсем то, но понадобится.

Свежее