边缘安全与网络
Suricata
厂商/来源:
OISF (开源 GPLv2)
核心功能:
“边缘盒子的防毒面具”。不仅能看(IDS),还能直接把黑客的请求“切断”(IPS)。
| 适用场景 | 阻止工控机连接境外挖矿矿池、拦截针对老旧 SCADA 漏洞的扫描、流量清洗 |
| 架构支持 | Linux (支持多线程,比古老的 Snort 快很多) OpenWrt (可作为旁路或串联防火墙运行) |
| 核心机制 | 特征匹配拦截:实时拆解数据包,如果发现某台内网摄像头发送了包含 "Mirai" 僵尸网络特征的请求,或者试图利用 Log4j 漏洞,直接在底层 Drop 掉数据包。 |
| 规则情报 | Emerging Threats (ET) 规则库:自带全球最新的开源黑客攻击特征库,每日更新。 |
| 避坑指南 | [性能熔断与模式选择] 1. 内存吃紧:如果你加载了全部 6 万条社区规则,Suricata 会吃掉至少 1.5GB 内存。在树莓派上跑会直接把系统拖死。对策:在边缘侧,务必使用脚本裁剪规则,只保留针对 HTTP 和已知木马的特征库(如 ET-botcc),将规则压缩到 5000 条以内。 2. AF_PACKET vs NFQ:如果只做告警(不管控),用 AF_PACKET 监听即可;如果必须拦截(阻断),必须配置 iptables 将流量转发到 NFQUEUE。配置极度硬核,搞不好会导致全网断网。 |
| 推荐搭配 | [iptables/nftables] [大内存边缘网关][ELK 日志分析] |
