modSecurity日志收集:在phase 5阶段处理。

由于CC攻击主要考虑对动态请求的防护,所以要排除静态资源的请求,或者自定义动态请求的后缀或者关键字做接口针对性的防护。

定义需要排除的请求url后缀名称

SecAction \

 "id:900260,\

  phase:1,\

  nolog,\

  pass,\

  t:none,\

  setvar:'tx.static_extensions=/.mvc/ /.jpg/ /.jpeg/ /.png/ /.gif/ /.js/ /.css/ /.ico/ /.svg/ /.webp/'"

然后是怎么判断是CC攻击?根据访问频率来定义,某个ip在dos_burst_time_slice的时间(单位秒)内dos_counter_threshold次请求算一次攻击嫌疑,如果超过2次,我们就认定是CC攻击的IP,对该IP封禁,解封时间定义为dos_block_timeout。

例如,定义60s内100次动态请求算一次攻击嫌疑,封禁时间为600s。

SecAction \

 "id:900700,\

  phase:1,\

  nolog,\

  pass,\

  t:none,\

  setvar:'tx.dos_burst_time_slice=60',\

  setvar:'tx.dos_counter_threshold=100',\

  setvar:'tx.dos_block_timeout=600'"

 接下来就是关键的拦截策略了。

总体思路如下:

1、如果一个请求访问的是非静态(TX:STATIC_EXTENSIONS)资源,那我们就定义一个变量(IP:DOS_COUNTER)+1,IP为客户端IP

SecRule REQUEST_BASENAME ".*?(\.[a-z0-9]{1,10})?$" \

	"phase:5,\

	id:912150,\

	t:none,\

	t:lowercase,\

	nolog,\

	pass,\

	tag:'application-multi',\

	tag:'language-multi',\

	tag:'platform-multi',\

	tag:'attack-dos',\

	capture,\

   	setvar:tx.extension=/%{TX.1}/,\

	chain"

	SecRule TX:EXTENSION "!@within %{tx.static_extensions}" \

		"setvar:ip.dos_counter=+1"

  

2、如果IP:DOS_COUNTER大于TX:DOS_COUNTER_THRESHOLD阈值,就创建一个CC嫌疑次数IP:DOS_BURST_COUNTER=1,如果存在则该值设置为2。且IP:DOS_COUNTER置0,CC嫌疑次数IP:DOS_BURST_COUNTER有一个超时时间TX:DOS_BURST_TIME_SLICE。

SecRule IP:DOS_COUNTER "@ge %{tx.dos_counter_threshold}" \

	"phase:5,\

	id:912160,\

	t:none,\

	nolog,\

	pass,\

	tag:'application-multi',\

	tag:'language-multi',\

	tag:'platform-multi',\

	tag:'attack-dos',\

	chain"

	SecRule &IP:DOS_BURST_COUNTER "@eq 0" \

		"setvar:ip.dos_burst_counter=1,\

		expirevar:ip.dos_burst_counter=%{tx.dos_burst_time_slice},\

		setvar:!ip.dos_counter"

SecRule IP:DOS_COUNTER "@ge %{tx.dos_counter_threshold}" \

	"phase:5,\

	id:912161,\

	t:none,\

	nolog,\

	pass,\

	tag:'application-multi',\

	tag:'language-multi',\

	tag:'platform-multi',\

	tag:'attack-dos',\

	chain"

	SecRule &IP:DOS_BURST_COUNTER "@ge 1" \

		"setvar:ip.dos_burst_counter=2,\

		expirevar:ip.dos_burst_counter=%{tx.dos_burst_time_slice},\

		setvar:!ip.dos_counter" 

3、如果CC嫌疑次数IP:DOS_BURST_COUNTER大于2就认定为CC攻击,定义一个值IP:DOS_BLOCK,该变量超时时间为TX:DOS_BLOCK_TIMEOUT。

定义大于等于两次封IP的规则:如果IP:DOS_BURST_COUNTER大于等于2,设置变量ip.dos_block=1,且设置该变量的超时时间为TX:DOS_BLOCK_TIMEOUT。在phase5发生。

SecRule IP:DOS_BURST_COUNTER "@ge 2" \

	"phase:5,\

	id:912170,\

	t:none,\

	log,\

	pass,\

	tag:'application-multi',\

	tag:'language-multi',\

	tag:'platform-multi',\

	tag:'attack-dos',\

	msg:'Potential Denial of Service (DoS) Attack from %{tx.real_ip} - # of Request Bursts: %{ip.dos_burst_counter}',\

	setvar:ip.dos_block=1,\

	expirevar:ip.dos_block=%{tx.dos_block_timeout}"

4、在phase1,如果IP:DOS_BLOCK为1,则阻断该请求,且IP:DOS_BLOCK_COUNTER+=1。如果一个IP第一次被阻断,记录阻断日志并设置一个IP:DOS_BLOCK_FLAG 标志,该标志的超时时间为60s,设置该标志的后面不记录日志,避免刷屏。也就是说如果一直攻击,最多60s记录一次日志。为了显示IP:DOS_BLOCK_COUNTER的同时重置该值,将IP:DOS_BLOCK_COUNTER复制到TX:DOS_BLOCK_COUNTER这个变量。

#

# Block and track # of requests and log

#

SecRule IP:DOS_BLOCK "@eq 1" \

	"chain,\

	phase:1,\

	id:912120,\

	drop,\

	tag:'application-multi',\

	tag:'language-multi',\

	tag:'platform-multi',\

	tag:'attack-dos',\

	msg:'Denial of Service (DoS) attack identified from %{tx.real_ip} (%{tx.dos_block_counter} hits since last alert)'"

	SecRule &IP:DOS_BLOCK_FLAG "@eq 0" \

		"setvar:ip.dos_block_counter=+1,\

		setvar:ip.dos_block_flag=1,\

		expirevar:ip.dos_block_flag=60,\

		setvar:tx.dos_block_counter=%{ip.dos_block_counter},\

		setvar:ip.dos_block_counter=0"

  

SecRule IP:DOS_BLOCK "@eq 1" \

	"phase:1,\

	id:912130,\

	t:none,\

	drop,\

	nolog,\

	tag:'application-multi',\

	tag:'language-multi',\

	tag:'platform-multi',\

	tag:'attack-dos',\

	setvar:ip.dos_block_counter=+1"

  

modSecurity规则学习(八)——防止CC攻击的更多相关文章

  1. cc攻击和ddos攻击

    DoS攻击.CC攻击的攻击方式和防御方法 DDoS介绍 DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of ...

  2. 防cc攻击利器之Httpgrard

    一.httpgrard介绍 HttpGuard是基于openresty,以lua脚本语言开发的防cc攻击软件.而openresty是集成了高性能web服务器Nginx,以及一系列的Nginx模块,这其 ...

  3. DDos、CC攻击与防御

    DDoS介绍 DDoS是英文Distributed Denial of Service的缩写,意即"分布式拒绝服务",那么什么又是拒绝服务(Denial of Service)呢? ...

  4. 浅谈iptables防SYN Flood攻击和CC攻击

    ------------------------本文为自己实践所总结,概念性的东西不全,这里粗劣提下而已,网上很多,本文主要说下目前较流行的syn洪水攻击和cc攻击------------------ ...

  5. 基于日志数据分析以防御CC攻击的想法

    1. What - 什么是CC攻击 CC攻击,即针对应用层HTTP协议的DDos攻击,攻击者在短时间内向目标服务器发送大量的HTTP请求,使得服务器会非常繁忙,资源消耗会增加:同时,如果请求中包含基于 ...

  6. 简单的cc攻击防御

    简单的cc攻击防御cckiller 一.下载#wget wget --no-check-certificate https://zhangge.net/wp-content/uploads/files ...

  7. 网站防止CC攻击的方法

    CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一 ...

  8. linux中防CC攻击两种实现方法(转)

    CC攻击就是说攻击者利用服务器或代理服务器指向被攻击的主机,然后模仿DDOS,和伪装方法网站,这种CC主要是用来攻击页面的,导致系统性能用完而主机挂掉了,下面我们来看linux中防CC攻击方法. 什么 ...

  9. Linux CC攻击脚本

    CC(ChallengeCollapsar)主要是用来攻击页面的.大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库 ...

随机推荐

  1. javascript 继承之拷贝,原型,类式

    // 拷贝继承,在子类内调用父类并修正this指向,再通过for in 拷贝父类的方法实现继承,具体实现如下代码 : function Tab(){//父类构造函数 this.name='aaa'; ...

  2. canvas 连线曲线图

    <!DOCTYPE html><html><head> <meta charset="utf-8"> <meta name=& ...

  3. mycat详细

    MyCAT的优势基于阿里开源的Cobar产品而研发,Cobar的稳定性.可靠性.优秀的架构和性能以及众多成熟的使用案例使得MYCAT一开始就拥有一个很好的起点,站在巨人的肩膀上,我们能看到更远.业界优 ...

  4. 【BZOJ 1196】[HNOI2006]公路修建问题

    [链接] 我是链接,点我呀:) [题意] 在这里输入题意 [题解] 二分最后选的边中的最大值是多少. mid 则所有边权小于等于mid的边都可以用了. 那么我们要怎么选择呢? ->优先选择一级的 ...

  5. 利用hive源码解析sql查了哪些表哪些字段

    在hiveserver2中使用了org.apache.hadoop.hive.ql.parse.BaseSemanticAnalyzer对抽象语法树(AST)进行语义分析,分析的过程可以得出hive查 ...

  6. UVA 11020 Efficient Solutions+multiset的应用

    题目链接:点击进入 首先来讲,非常easy看到我们事实上仅仅要维护优势人群的集合:假设增加一个新的人,我们首先看一下优势人群中是否有人会让这个人失去优势,假设没有,则将这个人插入集合中.但要注意到这个 ...

  7. netty学习(二)--传统的bio编程

    网络编程的基本模型是Client/Server模型.也就是两个进程之间进行相互通信,当中服务端提供位置信息( 绑定ip地址和监听port),client通过连接操作向服务端监听的地址发送连接请求,通过 ...

  8. android openGL ES2 一切从绘制纹理開始

    纹理.在openGL中,能够理解为载入到显卡显存中的图片.Android设备在2.2開始支持openGL ES2.0.从前都是ES1.0 和 ES1.1的版本号.简单来说,openGL ES是为了嵌入 ...

  9. xp秘钥

    TDCXC-M9FW9-3HQ28-CPXYR-YXQ3QCCBDF-9W9T8-K8B7M-83HJM-X2MCWP3MF6-BTDKT-KR7YF-X4BM9-4HD9TMCCWF-42JGF-W ...

  10. 使用OpenCV把二进制mnist数据集转换为图片

    mnist数据集是以二进制形式保存的,这里借助OpenCV把mnist数据集转换成图片格式.转换程序如下: #include <iostream> #include <fstream ...