modSecurity日志收集:在phase 5阶段处理。

由于CC攻击主要考虑对动态请求的防护,所以要排除静态资源的请求,或者自定义动态请求的后缀或者关键字做接口针对性的防护。

定义需要排除的请求url后缀名称

SecAction \

 "id:900260,\

  phase:1,\

  nolog,\

  pass,\

  t:none,\

  setvar:'tx.static_extensions=/.mvc/ /.jpg/ /.jpeg/ /.png/ /.gif/ /.js/ /.css/ /.ico/ /.svg/ /.webp/'"

然后是怎么判断是CC攻击?根据访问频率来定义,某个ip在dos_burst_time_slice的时间(单位秒)内dos_counter_threshold次请求算一次攻击嫌疑,如果超过2次,我们就认定是CC攻击的IP,对该IP封禁,解封时间定义为dos_block_timeout。

例如,定义60s内100次动态请求算一次攻击嫌疑,封禁时间为600s。

SecAction \

 "id:900700,\

  phase:1,\

  nolog,\

  pass,\

  t:none,\

  setvar:'tx.dos_burst_time_slice=60',\

  setvar:'tx.dos_counter_threshold=100',\

  setvar:'tx.dos_block_timeout=600'"

 接下来就是关键的拦截策略了。

总体思路如下:

1、如果一个请求访问的是非静态(TX:STATIC_EXTENSIONS)资源,那我们就定义一个变量(IP:DOS_COUNTER)+1,IP为客户端IP

SecRule REQUEST_BASENAME ".*?(\.[a-z0-9]{1,10})?$" \

	"phase:5,\

	id:912150,\

	t:none,\

	t:lowercase,\

	nolog,\

	pass,\

	tag:'application-multi',\

	tag:'language-multi',\

	tag:'platform-multi',\

	tag:'attack-dos',\

	capture,\

   	setvar:tx.extension=/%{TX.1}/,\

	chain"

	SecRule TX:EXTENSION "!@within %{tx.static_extensions}" \

		"setvar:ip.dos_counter=+1"

  

2、如果IP:DOS_COUNTER大于TX:DOS_COUNTER_THRESHOLD阈值,就创建一个CC嫌疑次数IP:DOS_BURST_COUNTER=1,如果存在则该值设置为2。且IP:DOS_COUNTER置0,CC嫌疑次数IP:DOS_BURST_COUNTER有一个超时时间TX:DOS_BURST_TIME_SLICE。

SecRule IP:DOS_COUNTER "@ge %{tx.dos_counter_threshold}" \

	"phase:5,\

	id:912160,\

	t:none,\

	nolog,\

	pass,\

	tag:'application-multi',\

	tag:'language-multi',\

	tag:'platform-multi',\

	tag:'attack-dos',\

	chain"

	SecRule &IP:DOS_BURST_COUNTER "@eq 0" \

		"setvar:ip.dos_burst_counter=1,\

		expirevar:ip.dos_burst_counter=%{tx.dos_burst_time_slice},\

		setvar:!ip.dos_counter"

SecRule IP:DOS_COUNTER "@ge %{tx.dos_counter_threshold}" \

	"phase:5,\

	id:912161,\

	t:none,\

	nolog,\

	pass,\

	tag:'application-multi',\

	tag:'language-multi',\

	tag:'platform-multi',\

	tag:'attack-dos',\

	chain"

	SecRule &IP:DOS_BURST_COUNTER "@ge 1" \

		"setvar:ip.dos_burst_counter=2,\

		expirevar:ip.dos_burst_counter=%{tx.dos_burst_time_slice},\

		setvar:!ip.dos_counter" 

3、如果CC嫌疑次数IP:DOS_BURST_COUNTER大于2就认定为CC攻击,定义一个值IP:DOS_BLOCK,该变量超时时间为TX:DOS_BLOCK_TIMEOUT。

定义大于等于两次封IP的规则:如果IP:DOS_BURST_COUNTER大于等于2,设置变量ip.dos_block=1,且设置该变量的超时时间为TX:DOS_BLOCK_TIMEOUT。在phase5发生。

SecRule IP:DOS_BURST_COUNTER "@ge 2" \

	"phase:5,\

	id:912170,\

	t:none,\

	log,\

	pass,\

	tag:'application-multi',\

	tag:'language-multi',\

	tag:'platform-multi',\

	tag:'attack-dos',\

	msg:'Potential Denial of Service (DoS) Attack from %{tx.real_ip} - # of Request Bursts: %{ip.dos_burst_counter}',\

	setvar:ip.dos_block=1,\

	expirevar:ip.dos_block=%{tx.dos_block_timeout}"

4、在phase1,如果IP:DOS_BLOCK为1,则阻断该请求,且IP:DOS_BLOCK_COUNTER+=1。如果一个IP第一次被阻断,记录阻断日志并设置一个IP:DOS_BLOCK_FLAG 标志,该标志的超时时间为60s,设置该标志的后面不记录日志,避免刷屏。也就是说如果一直攻击,最多60s记录一次日志。为了显示IP:DOS_BLOCK_COUNTER的同时重置该值,将IP:DOS_BLOCK_COUNTER复制到TX:DOS_BLOCK_COUNTER这个变量。

#

# Block and track # of requests and log

#

SecRule IP:DOS_BLOCK "@eq 1" \

	"chain,\

	phase:1,\

	id:912120,\

	drop,\

	tag:'application-multi',\

	tag:'language-multi',\

	tag:'platform-multi',\

	tag:'attack-dos',\

	msg:'Denial of Service (DoS) attack identified from %{tx.real_ip} (%{tx.dos_block_counter} hits since last alert)'"

	SecRule &IP:DOS_BLOCK_FLAG "@eq 0" \

		"setvar:ip.dos_block_counter=+1,\

		setvar:ip.dos_block_flag=1,\

		expirevar:ip.dos_block_flag=60,\

		setvar:tx.dos_block_counter=%{ip.dos_block_counter},\

		setvar:ip.dos_block_counter=0"

  

SecRule IP:DOS_BLOCK "@eq 1" \

	"phase:1,\

	id:912130,\

	t:none,\

	drop,\

	nolog,\

	tag:'application-multi',\

	tag:'language-multi',\

	tag:'platform-multi',\

	tag:'attack-dos',\

	setvar:ip.dos_block_counter=+1"

  

modSecurity规则学习(八)——防止CC攻击的更多相关文章

  1. cc攻击和ddos攻击

    DoS攻击.CC攻击的攻击方式和防御方法 DDoS介绍 DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of ...

  2. 防cc攻击利器之Httpgrard

    一.httpgrard介绍 HttpGuard是基于openresty,以lua脚本语言开发的防cc攻击软件.而openresty是集成了高性能web服务器Nginx,以及一系列的Nginx模块,这其 ...

  3. DDos、CC攻击与防御

    DDoS介绍 DDoS是英文Distributed Denial of Service的缩写,意即"分布式拒绝服务",那么什么又是拒绝服务(Denial of Service)呢? ...

  4. 浅谈iptables防SYN Flood攻击和CC攻击

    ------------------------本文为自己实践所总结,概念性的东西不全,这里粗劣提下而已,网上很多,本文主要说下目前较流行的syn洪水攻击和cc攻击------------------ ...

  5. 基于日志数据分析以防御CC攻击的想法

    1. What - 什么是CC攻击 CC攻击,即针对应用层HTTP协议的DDos攻击,攻击者在短时间内向目标服务器发送大量的HTTP请求,使得服务器会非常繁忙,资源消耗会增加:同时,如果请求中包含基于 ...

  6. 简单的cc攻击防御

    简单的cc攻击防御cckiller 一.下载#wget wget --no-check-certificate https://zhangge.net/wp-content/uploads/files ...

  7. 网站防止CC攻击的方法

    CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一 ...

  8. linux中防CC攻击两种实现方法(转)

    CC攻击就是说攻击者利用服务器或代理服务器指向被攻击的主机,然后模仿DDOS,和伪装方法网站,这种CC主要是用来攻击页面的,导致系统性能用完而主机挂掉了,下面我们来看linux中防CC攻击方法. 什么 ...

  9. Linux CC攻击脚本

    CC(ChallengeCollapsar)主要是用来攻击页面的.大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库 ...

随机推荐

  1. BZOJ 1951 [SDOI2010]古代猪文 (组合数学+欧拉降幂+中国剩余定理)

    题目大意:求$G^{\sum_{m|n} C_{n}^{m}}\;mod\;999911659\;$的值$(n,g<=10^{9})$ 并没有想到欧拉定理.. 999911659是一个质数,所以 ...

  2. mysql 1067终极解决办法 亲测好使

       进入mysql data 目录 删除 ib_logfile0  ib_logfile1   ibdata1   这三个文件 重启mysql

  3. list 分页

    package com.jsz.peini.common.util; import java.util.ArrayList; import java.util.List; public class S ...

  4. Java中的字符串常量池和JVM运行时数据区的相关概念

    什么是字符串常量池 JVM为了减少字符串对象的重复创建,其维护了一个特殊的内存,这段内存被成为字符串常量池或者字符串字面量池 工作原理 当代码中出现字面量形式创建字符串对象时,JVM首先会对这个字面量 ...

  5. code vs 1216 跳马问题

    1216 跳马问题  时间限制: 1 s  空间限制: 128000 KB  题目等级 : 黄金 Gold 题解       题目描述 Description 题目 输入描述 Input Descri ...

  6. [MST] Create an Entry Form to Add Models to the State Tree

    It is time to add new entries to the wishlist. We will achieve this by reusing forms and models we'v ...

  7. Experience Design for Sexable Forum

    Mars March 16, 2015

  8. JavaScript-html标题滚动效果

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...

  9. poj_1974,最长回文字串manacher

    时间复杂度为O(n),参考:http://bbs.dlut.edu.cn/bbstcon.php?board=Competition&gid=23474 #include<iostrea ...

  10. thinkPHP的模板是做什么用的

    thinkPHP的模板是做什么用的 问题 为什么PHP中ThinkPHP有做类似模板引擎的东西?smarty也是?这些到底有何用? 我是真没发现它们的用处在哪里?分离了前端和PHP的依赖?HTML文件 ...