web-dev-qa-db-ja.com

強制的なブラウジングから保護するためのDNSBLに似たものはありますか?

いくつかのApacheWebサーバーを 強制ブラウジング から保護したいと思います。最近、phpMyAdminのような存在しないアプリケーションをクエリする複数のスキャンがあり、特にセキュリティレコードが弱いことで知られています。

これは、前述のサーバーのパフォーマンスを低下させ始めており、私はそれらから保護する方法を探しています。私はこれについてここにいくつかのスレッドを見つけました:

それから、私はこれらの要求を抑制することが最善の策だと思います。

この効果に使用されるスパム対策用の [〜#〜] dnsbl [〜#〜] のようなシステムがあるかどうか疑問に思いました。たぶん、netfilterのconntrackまたはstateモジュールと組み合わせて使用​​できる「攻撃クエリ」のグローバルデータベースですか?

1
tomeduarte

サーバー上に存在しない人気のあるフォルダーをいくつか選択し、 tarpits をインストールします。友達にも同じことをするように言ってください。

編集:スキャンするボットの速度を落とすことで役立つため、スキャンしているボットの数に関係なく、十分なアイドル時間があります。それが何であるか、そしてそれを行う方法に関して:グーグルは上記のアドレスで定期的に更新されるリンクのリストを維持します。

3
pepe

Webアプリケーションファイアウォール(WAF)が必要なようです。 From [〜#〜] owasp [〜#〜] "Webアプリケーションファイアウォール(WAF)は、HTTP会話に一連のルールを適用するアプライアンス、サーバープラグイン、またはフィルターです。"たとえば、1分間に3回連続して404エラーが発生した後、IPからのリクエストを抑制するルールを設定できます。 OWASPリンクは、WAFを選択するための選択基準も推奨しています。 Webアプリケーションファイアウォールの役割を果たすネットワークハードウェアだけでなく、無料の商用ソフトウェアアプリケーションもあります。

呪いの検索は明らかにします:

IronBee

ModSecurity

dotDefender

openWAF

BinarySec

2
this.josh

あなたはこれについて間違った方法で考えています。強制ブラウジングはWebアプリケーションの脆弱性です。強制的なブローイングを防ぐには、Webアプリケーションを適切にコーディングする必要があります。 Webアプリケーションに強力なブラウジングの脆弱性がある場合、Apache構成でそれを修正できない可能性があります。

基本的に、強制ブラウジングは、Apache構成の誤りとは関係ありません。それは欠陥のあるソフトウェア開発に関連しています。この問題を回避する責任があるのはソフトウェア開発者であり、ネットワーク運用担当者ではありません。

P.S. DNSBLまたは同様のリストは、強力なブラウジングの脆弱性に対する防御には役に立たないでしょう。

2
D.W.

それらをブラックホールするだけです。サーバーで/ phpMyAdminをチェックしている人はうまく機能しておらず、実際に使用するためにそこにいません。誰かがそれ、または他の一般的なスキャン場所にぶつかった場合は、次の1時間または1日だけそれらをドロップします。さて、これはDOSの可能性を示す可能性がありますが、それはいくつかの深刻な作業を必要とし、簡単に元に戻すことができます。

失敗した試行を使用して、考えられるプロービングを強制終了することに大きな価値があります。

1
Jeff Ferland

パフォーマンスの向上に関する質問に答えるには、非常に簡単な答えがあります。パフォーマンスを低下させている最も一般的なクエリをブラックリストに登録するだけです。

1か月ほどログファイルを取得します。最も一般的な攻撃要求を照合します。次のようなものがおそらく機能します:404 Not Foundを返すリクエストのgrep、すべての一意のURLの検索、各一意のURLがアクセスされた回数のカウント、および並べ替え。そのような一般的にアクセスされる存在しないURLをすべて取得し、それらをブラックリストに入れます。次に、そのブラックリストのURLにアクセスするすべての試行を即座にブロックするようにApacheを構成します。

これのもう少し洗練されたバージョンは、ログによると、最も一般的に攻撃されるアプリケーション(phpMyAdminなど)を照合することです。それぞれについて、そのアプリケーションのコピーがサイトに合法的に展開されているかどうかを確認します。そうでない場合は、ブラックリストに追加してください。次に、そのブラックリストにあるアプリケーションにアクセスするすべての試行を即座にブロックするようにApacheを構成します。これは少し広いかもしれませんが、ブラックリストを照合して、サイト上の正当なアプリケーションを誤ってブロックしないようにするために、もう少し作業が必要になる場合があります。

このため、一元化されたブラックリストは必要ないと思います。ログには、最も一般的にアクセスされる存在しないURL /アプリケーションを識別するために必要なすべての情報が含まれている必要があります。

このアプローチはパフォーマンスを改善する可能性がありますが、セキュリティを大幅に改善する可能性は低いことに注意してください。

1
D.W.