modSecurity规则学习(五)——DDOS攻击检测

最新推荐文章于 2024-05-12 10:53:36 发布
最新推荐文章于 2024-05-12 10:53:36 发布
阅读量849 收藏 1
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/wuweidong/p/8623794.html
版权

1、IP访问频率

SecAction phase:1,nolog,pass,setvar:IP.counter=+1
SecRule IP:UPDATE_RATE "@gt 10" \
"phase:1,block,msg:'Request rate too high for IP address: %{IP.UPDATE_RATE}'"

  优化下,去掉静态资源的

# Only increment the counter if the
# request is for a non-static resource
SecRule REQUEST_FILENAME "!\.(jpg|png|gif|js|css|ico)$" \
phase:1,nolog,pass,setvar:IP.counter=+1

2、DURATION variable (2.6以后)

discover how long a transaction has been running. The idea is to keep track of how much
time the web server is spending, per IP address, session, or user.

# Block the IP addresses that use too
# much of the web server's time
SecRule IP.load "@gt 10000" \
"phase:1,t:none,block,\
msg:'IP address load too high: %{IP.load}'"
# Keep track of how much web server
# time is consumed by each IP address
SecAction "phase:5,nolog,pass,\
setvar:IP.load=+%{DURATION},\
deprecatevar:IP.load=250/1"

3、根据业务请求,比如有暴力登录的ddos,成功跳转index,php,失败跳回login.php,通过访问login.php的频率判断潜在的ddos

 

<Location /login.php>
# Enforce an existing IP address block
SecRule IP:bf_block "@eq 1" "phase:2,block,\
msg:'IP address blocked because of suspected brute-force attack'"
# Check for authentication failure
SecRule RESPONSE_HEADERS:Location ^/login.php \
"phase:5,chain,t:none,nolog,pass, \
msg:'Multiple authentication failures from IP address',\
setvar:IP.bf_counter=+1"
SecRule IP:bf_counter "@gt 25" t:none,\
setvar:IP.bf_block,\
setvar:!IP.bf_counter,\
expirevar:IP.block=3600
</Location>

4、按IP||用户失败频率统计

<Location /login.php>
# Enforce an existing IP address block
SecRule IP:bf_block "@eq 1" \
"phase:2,deny,\
msg:'IP address blocked because of suspected brute-force attack'"
# Retrieve the per-username record
SecAction phase:2,nolog,pass,initcol:USER=%{ARGS.username}
# Enforce an existing username block
SecRule USER:bf_block "@eq 1" \
"phase:2,deny,\
msg:'Username blocked because of suspected brute-force attack'"
# Check for authentication failure and increment counters
SecRule RESPONSE_HEADERS:Location ^/login.php \
"phase:5,t:none,nolog,pass,\
setvar:IP.bf_counter=+1,\
setvar:USER.bf_counter=+1"
# Check for too many failures from a single IP address
SecRule IP:bf_counter "@gt 25" \
"phase:5,pass,t:none,\
setvar:IP.bf_block,\
setvar:!IP.bf_counter,\
expirevar:IP.block=1800"
# Check for too many failures for a single username
SecRule USER:bf_counter "@gt 25" \
"phase:5,t:none,pass,\
setvar:USER.bf_block,\
setvar:!USER.bf_counter,\
expirevar:USER.block=1800"
</Location>

 

 

 

转载于:https://www.cnblogs.com/wuweidong/p/8623794.html

weixin_30781107
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ModSecurity规则学习
慢慢来的博客
08-16 6334
OWASP ModSecurity Core Rule Set https://www.netnea.com/cms/core-rule-set-inventory/ 可以看到规则非常细, 整理分析文章:https://yq.aliyun.com/ziliao/5287 1、主要规则文件: REQUEST-910-IP-REPUTATION.conf(可疑IP匹配) REQUEST-9...
Modsecurity配置限制DoS攻击
技术转管理历程
03-16 2088
在自定义配置文件加入下面这行 # bursts SecAction "id:'900011',phase:1,t:none,setvar:'tx.dos_burst_time_slice=60',setvar:'tx.dos_counter_threshold=100',setvar:'tx.dos_block_timeout=600',nolog,pass" 设置时间区间60秒,在该
Luix下安装modsecurity的安装和安装mod_evasive防DDOS攻击
jiangxinyu的专栏
01-05 2235
 安装modsecurity(mod_security可以加强apache的安全性,特别是在防sql注入上有很好的效果。)下载站点:http://www.modsecurity.org/download/#tarzxvfmodsecurity-apache-1.9.2.tar.gz#cdmodsecurity-apache-1.9/apache2/#/usr/local/httpd220/bi
MODSecurity-刨析规则
最新发布
小程同学
05-12 352
drop: 对当前tcp连接进行关闭操作,它和deny的不同是:deny之后,客户端仍然可以提交请求,但使用drop后,客户端只有重新连接才可以访问。block: 并不是一个真正的动作,它的行为取决于配置的默认动作,如果默认动作更新,使用block的规则行为也随即改变。在客户端的角度来说,这个动作会返回4xx或5xx的状态码(取决于规则定义status),但并没有中断当前的连接。allow: 命中了某条规则后,不需要对请求/响应应用其它规则,直接让请求通过。:正向肯定预查,从左向右查看文本,尝试匹配规则
ModSecurity中文使用手册
03-08
ModSecurity是一个WEB应用防火墙引擎,自身所提供的保护非常少。为了变得更有用些,ModSecurity必须启用规则配置。为了让用户能够充分利用ModSecurity离开方块,Breach Security, Inc.为ModSecurity 2.x提供了一套免费的认证规则集。和入侵检测及防御系统不一样,它们依赖于具体的签名过的已知漏洞,而这一核心规则却是为从网络应用中发现的不知名的漏洞提供一般的保护,通常这些漏洞大多数情况下都是自定义编码的。这一核心规则有了大量的评论,从而使得这些能够被用来做ModSecurity的部署向导。
centos环境下ModSecurity-envoy编译和测试 - 野路子技术宅的博客
中年码农
01-11 240
本文详细介绍ModSecurity-envoy工程项目的代码编译过程。 最近一年都在参与某央企通信企业的安全产品研发工作,其中我的任务是进行云原生、零信任技术和开源安全产品研究。 这篇文章是最近2个月的工作成果,做也个记录和备注。
waf-tool:辅助工具,用于生成ModSecurity规则排除项
03-02
辅助工具,用于生成ModSecurity规则排除项并创建对Gitlab存储库的合并请求。 用法 要为请求的所有警报生成规则排除并创建合并请求,请执行以下操作: 验证OpenShift集群 oc login 查找带有误报的请求以进行调整。...
wordpress-modsecurity-ruleset:适用于WordPress的ModSecurity规则集(WPRS)
05-08
WordPress ModSecurity规则集(WPRS) 该规则集扩展了OWASP CRS( ),并包括一些特定规则,以保护著名的WordPress CMS的最关键方面。目录 联络人 安装只需使用git clone ...
ddos攻击
08-01
DDoS(Distributed Denial of Service)攻击是网络世界中的一种常见威胁,它通过大量恶意流量淹没目标服务器,导致正常用户无法访问服务。在Linux环境下,防范CC(Challenge Collapsar)这种特定类型的DDoS攻击是一...
WAF规则编写指南
03-01
较为详细的介绍了使用modsecurity rule language编写Rule。
Apache下ModSecurity的安装启用与配置
09-15
**五、使用ModSecurity核心规则集** - **基础规则集**:在`activated_rules/`目录下,使用`ln -s`命令链接`../base_rules/`下的规则文件。 - **调整规则**:根据Web应用的需求,可以禁用、修改或添加规则。 **六、...
ModSecurity规则
浅笑996的博客
10-26 5278
一、ModSecurity规则 基本格式 SecRule VARIABLES OPERATOR ACTIONS SecRule:ModSecurity主要的指令,用于创建安全规则。 VARIABLES :代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等。 OPERATOR:代表操作符,一般用来定义安全规则的匹配条件...
Nginx防御DDOS攻击
三弦的回忆
11-08 2056
防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的防御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置来防御的,例如前端是 Nginx,主要使用nginx的http_limit_conn和http_limit_req模块来防御。
ddos工具linux,DDoS常用工具大全
weixin_28745309的博客
05-11 1784
网络攻防是发生在第五空间的对抗和战争。这是一个动态的过程,无论攻击者还是防御者都在实战中寻求进步。攻防双方的“兵器”就在这个战场中不断磨砺和进化。绿盟科技关注攻防的最新进展,为了帮助客户更好的对抗网络威胁,每个季度会推出最新的“DDoS兵器谱”,介绍DDoS工具的最新发展和变化。1. 简介本期“DDoS兵器谱”将要介绍的这三款工具的最新进展,他们是XOIC、Zarp和Slowhttptest。其中...
modSecurity规则学习(八)——防止CC攻击
weixin_30466421的博客
05-14 1361
modSecurity日志收集:在phase 5阶段处理。 由于CC攻击主要考虑对动态请求的防护,所以要排除静态资源的请求,或者自定义动态请求的后缀或者关键字做接口针对性的防护。 定义需要排除的请求url后缀名称 SecAction \ "id:900260,\ phase:1,\ nolog,\ pass,\ t:none,\ setvar:'tx.s...
ModSecurity介绍
热门推荐
曾虎的博客
09-14 1万+
ModSecurity介绍 一、什么是ModSecurity?         1、ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙。        2、ModSecurity是一个开源、跨平台的web应用程序防火墙(WAF)模块。        3、它可以作为Apache Web服务器的一个模块或单独的应用程序来运
DDoS攻击、CC攻击攻击方式和防御方法
weixin_34174132的博客
06-26 508
DDoS介绍 DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。分布式拒绝服务攻击一旦被实施,攻...
linux防火墙_旗鱼云梯Linux网络安全防火墙(WAF防火墙)
weixin_39850167的博客
10-19 188
在这个乱象横生的年代,SQL注入、XML注入,跨站脚本攻击,PHP代码注入满天飞,如何进行web应用安全防御,是每个web网站拥有者都会被问到的问题。对于网站来说拥有一个WAF防火墙对网站安全来说是非常重要的事情。Web应用程序防火墙过滤,监视和阻止与Web应用程序之间的HTTP流量。通过检查HTTP流量,它可以防止源自Web应用程序安全漏洞的攻击,例如SQL注入、跨站点脚本,文件包含和安全性错误...
cenots中Nginx如何安装ModSecurity防御应用层DDoS攻击
04-22
对于在 Cenots 中安装模块化安全性(ModSecurity)来防御应用层DDoS攻击,可以按照以下步骤进行操作: 1. 安装依赖:使用 yum 命令安装依赖库:libxml2、libxml2-devel、httpd-devel、pcre-devel。 2. 安装 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值