问题描述
从 Owasp CRS (modsecurity) 相关文档(我可以在公共领域找到)我可以推断出蛮力和 DOS 保护已经得到处理。但是,我无法找到有关阻止 DOS 的规则的具体细节。目前,我的服务器正在遭受以下类型的蛮力攻击:
-
同时使用相同的 IP、相同的资源/页面
aa.bb.cc.dd 2021-04-27T07:01:37
aa.bb.cc.dd 2021-04-27T07:01:37
aa.bb.cc.dd 2021-04-27T07:01:37
-
具有相同反向 DNS 主机的不同 IP,同时具有相同的资源/页面。 IP 的前两个八位字节保持不变。
aa.bb.cc.dd 2021-04-27T07:01:37
aa.bb.ee.ff 2021-04-27T07:01:37
aa.bb.gg.hh 2021-04-27T07:01:37
使用过 Owasp CRS 的人能否告诉我是否可以使用 CRS 防止此类攻击?
更新: 我正在使用 apache 2.4。关于 CRS,我使用的是 3.3.0 版
解决方法
您没有编写您使用的 HTTP 服务器 - 这很重要。
我认为您的第一项有更多解决方案。 CRS 具有可选的 DOS 保护,请参阅 crs.conf 的 this 部分。这也可以在其他情况下为您提供帮助,例如。资源不一样。
大多数 HTTP 服务器也提供其他解决方案,例如。如果您使用 Apache,请检查 mod_evasive(大多数发行版都将此作为包提供)。我不知道 Nginx 的类似解决方案。
您的第二个问题是 DDOS,因为 IP 地址不同。
这有点超出范围,但您可以查看 fail2ban(大多数发行版也支持) - 或许这也能帮到您。