Как мы собрали систему сетевого мониторинга безопасности для ISP: Zeek, Suricata, OpenSearch и ClickHouse

[naim]

Неплохая статья, но если бы ещё что-то выложили из своих наработок , было бы мегакруто

[Alexey_Shalin]

Добрый день
Мы добавили поддержку nftables как альтернативу Cisco ACL (чуть позже, чем подготовили статью). Теперь механизм реакции можно адаптировать под разные сценарии — блокировать атакующие IP либо на пограничном маршрутизаторе, либо на Linux-узле.

В планах — выложить код проекта на GitHub.

[plus79501445397]

что насчет ddos?

[Alexey_Shalin]

Добрый
У нас есть детектор - top_connection:, который блокирует события :
top_connections: 2960 connections/5min