在我的網絡應用程序中,調查和檢測惡意用戶行爲或拒絕服務或攻擊等攻擊的最佳方式是什麼?檢測Web應用程序攻擊的最佳方法是什麼?
我知道服務器的統計數據(如Awstats)是那種目的是非常有用的,特別是看到3XX,4XX和5XX錯誤(here's an Awstats example page),這往往是機器人或嘗試著名的不良或畸形的URL壞好意的用戶。
是否有其他(和更好的)方式來分析和檢測這種攻擊暫定?
注意:我正在談論基於URL的攻擊,而不是針對服務器組件(如數據庫或TCP/IP)的攻擊。
記錄一切。然後手動檢查日誌,找到不感興趣的東西,然後編寫一個放棄這些日誌條目的解析器。一旦你完成了,沖洗並重復,直到你留下有趣的東西。既然您只有有趣的日誌條目可供閱讀,請確定哪些條目是危險的,哪些是無害的,但令人討厭,並根據情況進行修復。
多個網絡作爲一個整體,但是撒旦是非常好的
http://www.porcupine.org/satan/
SATAN是幫助系統管理員的工具。它承認幾個常見的與網絡有關的安全問題,並報告問題而不實際利用它們。
我通常編寫自己的日誌分析器,試圖跟蹤通常在導航完成時發生的事件NOT人類。像:
直接訪問與URL或參數未知
反饋表頁面加載,編譯和發佈不到,比如說10秒發佈領域 等等
錯誤引用序列 HTML或「關鍵」的字符序列...
首先你必須說什麼是或不是潛在的利用,有時一個url可能是一個有效的請求,有時它可能是一個XSS攻擊。很多流量可能是DDoS,或者可能是由於在slashdot文章中提到的結果。
接下來,您可以查看各種類型的攻擊日誌 - 例如DDoS,您需要使用IP工具檢查日誌(因爲很多DDoS攻擊都是在非Web端口上進行的,例如SYN Floods) 。
然後你想安裝mod_security併爲它設置一些規則(你可以在網上找到很多預定義的規則集)。這會讀取請求並解析它以發現常見或已知的攻擊(例如包含sql或html類型文本的url)。
如果您有預算,請使用Web應用程序防火牆(WAF)。這些專門用於識別和阻止應用層攻擊。也有一些便宜的WAF,甚至是一兩個開放源代碼。
但是請注意,您仍然應該練習安全編碼等; WAF非常適合深度防守和臨時虛擬補丁。
這確實是一個很好的方法......這很費時間,但是唯一的方法就是拼命。 – paulgreg 2008-09-26 09:34:36