CrowdSec是一种大型的多人防火墙,旨在通过服务器端代理保护Internet上公开的Linux服务器,服务,容器或虚拟机。它受Fail2Ban的启发,旨在成为该入侵防御工具的现代化协作版本。
CrowdSec是免费且开源的(根据MIT许可证),其源代码可在GitHub上获得。它使用行为分析系统,根据您的日志来确定是否有人试图对您进行黑客攻击。如果您的代理检测到此类侵略,则将处理有问题的IP并发送给策展人。如果此信号通过了策展过程,则将IP重新分配给共享相似技术配置文件的所有用户,以使他们针对该IP“免疫”。
目标是利用人群的力量来创建实时IP信誉数据库。至于侵害您的计算机的IP,您可以选择以您认为合适的任何方式来补救威胁。最终,CrowdSec利用社区的力量创建了一个极其准确的IP信誉系统,该系统使所有用户受益。
对于创始人来说很明显,开源将成为CrowdSec的主要支柱之一。该项目的创始人从事开源项目已有数十年了,他们不仅跳上了火车。相反,他们是坚强的开源信徒。他们认为,人群是我们正在经历的大规模黑客灾难的关键,而开源是创建社区并让人们为该项目贡献知识并最终使其变得更好,更安全的最佳杠杆。
该解决方案最近变成1.x版本,带来了主要的体系结构更改:引入了本地REST API。
CrowdSec用Golang编写,旨在在现代,复杂的体系结构(例如云,lambda和容器)上运行。要实现此目的,必须将其解耦,表示您可以在此处检测到" (例如,在您的数据库日志中)并在其中进行补救。 (例如,在您的防火墙或rproxy中)。
该工具在内部使用漏斗,以进行严格的事件控制。使用YAML编写方案以使其尽可能简单易读,而不会牺牲粒度。推理引擎可让您从链式存储桶或元存储桶中获取见解,这意味着如果多个存储桶(例如,Web扫描,端口扫描和登录尝试失败)溢出到"元存储桶中,"您可以触发"有针对性的攻击"补救措施。
激进的IP使用保镖来处理。 CrowdSec集线器提供了现成的数据连接器,保护器(例如Nginx,PHP,Cloudflare,Netfilter)和方案,可以阻止不同的攻击类别。这些保镖可以通过多种方式补救威胁。
Crowdsec适用于验证码,限制应用权限,多因素身份验证,限制查询或在需要时激活Cloudflare攻击模式之类的增强器。通过轻量级的可视化界面和强大的Prometheus可观察性,您可以了解本地发生的事情(以及发生的地方)。
尽管Crowdsec软件当前看起来像是经过完善的Fail2Ban,但该项目的目标是利用人群的力量来创建高度准确的IP信誉数据库。当CrowdSec弹跳特定IP时,触发的场景和时间戳将发送到我们的API,以进行检查并集成到不良IP的全球共识中。
虽然我们已经向社区重新分发了黑名单,但我们计划在处理其他先决条件代码行后立即真正改善这一方面。该网络已经拥有超过130,000个IP(每天更新)的发现,并能够将其中的10%(13,000个)重新分配给我们的社区成员。
我们的愿景是,一旦CrowdSec社区足够大,我们都会实时生成最准确的IP信誉数据库。这种全球声誉引擎与本地行为评估和补救措施相结合,将使许多企业以非常低的成本获得更严格的安全性。
保护客户免受DDoS攻击的公司根据Fail2Ban设置了DDoS缓解策略。当其客户之一受到7,000台机器僵尸网络的攻击时,CrowdSec能够提取所有日志并成功禁止了超过95%的僵尸网络,从而在不到五分钟的时间内有效地缓解了这种攻击。为了进行比较,要应对这种攻击,Fail2Ban将需要每分钟处理几千条日志,这非常具有挑战性,并且需要花费近50分钟的时间。
一家电子商务企业正在遭受大规模的信用卡充塞攻击。攻击者正在向支付网关发送垃圾邮件,使用唯一的IP地址测试了数千种不同的信用卡详细信息。通过安装CrowdSec,该公司不必修改其所有应用程序以尝试检测攻击,而是可以扫描所有日志并在几分钟之内阻止入侵。
开源项目之间的共同压力是建立可行的货币化模型。因此,在完全透明的情况下,我们将为希望利用我们的IP信誉数据库而不提供任何帮助或共享其被禁IP数据的企业提供高级订阅。这将允许任何人在接受来自未知IP的第一个数据包后查询IP信誉数据库。
CrowdSec的设置快速简便(仅需五分钟,顶部)。它在向导的大力协助下,允许尽可能多的人和组织使用它。该项目是生产级的,已经在许多地方运行,包括托管公司(尽管它仍处于测试阶段)。
目前,社区成员来自六大洲的70多个国家,并阻止了130,000多个恶意IP。 Crowdsec团队正在寻找更多的用户,贡献者和大使,以将项目推向新的高度。
团队很想听听您对最新版本的反馈。如果您有兴趣测试软件或想与团队联系,请检查以下链接: