sdmei

用过阿里高防的都知道，高防有个很牛X的防CC功能配置：基于域名，基于某URL（精确匹配或后模糊匹配），限制某个时间跨度的请求频率，超过该频率会拉黑n分钟，如：10秒内请求20次，达到这个阈值则拉黑IP5分钟。然而：高防不是所有公司都用得起的（月费用1万以上），高防配置的域名数量越来越苛刻（一级域名和二级域名数都有严格限制了），高防也有抽风的时候，有很多时候发现该功能没起效果，所以我们搞了个自己的防CC功能。改方案暂取名lbwaf，主要功能包括手动拉黑（就是手动填IP黑名单），自动拉黑（重点功

整体思路：从kafka集群读取请求日志流，经过spark structured streaming(结构化流)实时分析，将触发阈值的数据输出至mysql。1.数据源nginx日志通过syslog协议输出至logstash，然后同时写入es和kafka:nginx -> logstash -> elasticsearch and kafkalogstash配置：output { elasticsearch { …… } ## 尽可能在来源...

根据以往经验，windows服务器遭受的最常见的攻击行为包括：以外网应用服务器为跳板，扫描端口、上传木马、创建账号、登录等。公司目前应用服务器用windows的已经很少了，但最近搞了生产环境网络隔离，所有访问生产服务器的操作必须通过windows跳板机，因此这些跳板机的安全就显得更加重要了。主要思路：将这些跳板机的登录操作通过syslog集中到某台日志服务器，定期扫描日志，判断嫌疑操作并报警。

网站被恶意请求，拉黑IP是重要的手段，如果每次拉黑都要到nginx上配置，未免太low了；我们需要更方便的控制nginx IP黑名单。1.方案黑名单持久化到mysql （常见的方案是redis，但不利于控制，如：不同的IP设置不同的有效期、IP的CRUD、统计等等）；通过lua-nginx-module，在nginx中开辟一块内存（lua_shared_dict），lua将黑名单定期从...