modsecurity黑白名單以及規則檢測模式配置

superjack2發表於2020-04-29

                        ( 一、黑白名單)

百度ip, 查詢出口 ip ,編輯 /usr/local/nginx/conf/modsecurity/modsecurity.conf 檔案 ( 也可以自定義一個檔案 , 在自定義檔案里加入規則集,防止破壞原生的 modsecurity.conf 檔案 )

# 黑名單攔截規則:

SecRule REMOTE_ADDR "@ipMatch 220.112.124.125" "id:1238,phase:1,log,auditlog,deny,status:403"

   { REMOTE_ADDR   遠端地址, 訪問者 ip }

# 黑名單攔截加重定向規則:

  SecRule REMOTE_ADDR "@ipMatch 220.112.124.125" "id:1239,phase:1,log,auditlog, redirect:http://modsecurity.cn/practice/intercept.html "

# 取消某個規則 ID

1 49.234.128.215/?id=1 AND 1=1 ( 模擬簡單的 SQL 注入 )

2、 SecRuleRemoveById 949110

# 白名單釋放規則:

SecRule REMOTE_ADDR "@ipMatch 220.112.124.125" "id:1000,phase:1,pass,nolog,ctl:ruleEngine=Off"

{  Ctl 改變當前事務的配置 (ctl 臨時修改 ModSecurity 配置 ) 例如 = ctl:ruleEngine=off   代表關閉攔截模式,所有規則失效。 }

(二、 規則檢測模式)

傳統檢測模式- 自主規則

   傳統檢測模式所有規則都是“閉環”的模式;規則之間不共享資訊。它僅使用其當前的單個規則邏輯進行檢測。如果規則觸發,它將執行當前規則中指定的中斷 / 記錄日誌操作。

   優點 :速度快(因為直接阻斷了,停止進一步處理)。

   缺點 :誤報/ 漏報率比較高。

 

異常評分檢測模式 - 協作規則概念:

   這種改進的檢測模式的核心理念是實施協作檢測和延遲阻塞。它會進行事務性異常評分記錄。

   另外,每個規則還將儲存關於每個規則匹配的後設資料(例如規則ID ,攻擊類別,匹配位置和匹配資料)在唯一 TX 變數內。

   使用ModSecurity setvar 動作增加異常分數。

 

·    Critical 異常得分5 ,表示可能應用程式攻擊,主要由 93x 94x 檔案生成。

·    Error 異常得分4 ,表示可能資料洩露,主要有 95x 檔案生成,暫不支援 nginx nginx plus

·    Warning 異常得分3 ,表示可能惡意客戶端,主要由 91x 檔案生成的。

·    Notice: 異常得分2 ,表示可能違反協議,主要由 92x 檔案生成。

以圖種的 critical 為例: 嚴格等級為critical ”的每個 CRS 規則都會將每次規則匹配的事務異常分數提高 5 分。

   優點

      允許使用者設定適合他們的閾值 - 不同的網站可能有不同的阻止閾值。

      對阻止的信心增加 - 由於更多檢測規則導致異常評分,評分越高,您越有信心阻止惡意事務。

   缺點

     對於普通使用者來說使用更為複雜。

日誌監控指令碼可能需要不斷更新才能正確分析。

攻擊操作

1 49.234.128.215/?id=1 AND 1=1 ( 模擬簡單的 SQL 注入 )

接著分析日誌以及crs-setup 指令碼檔案:

 

2、 更改閾值,編輯crs-setup.conf 檔案(變為傳統模式)

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31537832/viewspace-2689109/,如需轉載,請註明出處,否則將追究法律責任。

相關文章