Используют ли провайдеры IPS/IDS?

тебе этот вопрос лучше задать на nag.ru

Спасибо за наводку. Нашел там несколько тем, где это обсуждается.

Да, используют. По крайней мере, иногда.

А еще они получают от апстримов ежедневные списки нехороших хостов в своих сетях. Если вовремя не банить гадов, то апстрим может начать банить всю вашу автономную систему. Такие дела.

А эти списки чем получаются?

Я вот смотрю большинство IDS из коробки как-то ориентированы отбивать внешние атаки, а тут обратная ситуация. А нагуглить, как решается это проблема, не просто. Такое ощущение, что все используют какие-то свои решения.

А эти списки чем получаются?

При помощи IDS, я так думаю. Ставят порт в режим мониторинга, т.е. копируют трафик с порта на порт, и отправляют на некий сервер (или спецящик) с IDS, будь то самопальной или покупной. Я так делал.

А чтобы не перегружать анализтор, можно копировать каждый n-ный пакет.

можно копировать каждый n-ный пакет.

Это сетевое оборудование так умеет? А как технология или метод назвается?

С одной стороны это хорошо, с другой фрагментированные эксплоиты ловиться не будут. Тот же snort умеет дефрагментировать и нормализовывать трафик.

Это сетевое оборудование так умеет? А как технология или метод назвается?

В зависимости от производителя - port mirroring или еще по-разному.

с другой фрагментированные эксплоиты ловиться не будут

Обычно это и не требуется.