• Apicat更新Nginx自动恶意拦截功能


    OpenAPI Log Cat(下简称APIcat)是一款基于OpenAPI定义文档对nginx/阿里云日志进行分析的开源工具,和原有网络日志分析工具多从底层或常见漏洞匹配的扫描逻辑不同,得益于OpenAPI定义文档的加入,对日志分析可以深入到应用逻辑层面。

    APIcat 报告-防护-检测三部曲完成第二步。

    APIcat本周在原有API日志分析报告的基础上,进行了防护层级的开发工作。

    实时检测日志文件,实现对日志访问的实时分析

    在报告逻辑中,APIcat主要实现了全文读取日志文件的功能,在防护逻辑中,主要依靠实时读取日志来进行分析,对所有日志中记录的所有访问行为,细分成了以下几个层次:

    编号程序显示说明
    9999UnknownError未知错误(内部错误,日常不会出现)
    10000Legal合法访问
    10001Illegal_StaticViewOpenapi文件中没有定义过的静态文件
    10002Illegal_UnknownUrlOpenapi文件中没有定义过的非静态文件(危险级别较静态文件高)
    10003Illegal_MethodOpenapi中定义过url,但是访问方法错误
    10004Illegal_EmptyArgsOpenapi中定义过该url和对应的访问方法,但未提交任何参数
    10005Illegal_UnexpectedArgsOpenapi中定义过该url和对应的方法,但访问提交的参数不符合定义中规定的参数范围
    10006Illegal_DiffusedArgsOpenapi中定义过该url和对应的方法,但访问提交的参数被判定为滥用

    联动生成Nginx IP规则,实现恶意访问防护

    APIcat实时获取日志进行分析之后,目前实现了对Nginx配置的自动更新,通过配置deny/allow规则实现对恶意访问者的拦截。

    APIcat 的nginx过滤方式会自动维护一个包含所有ip deny列表的文件,如果需要启用,需要在nginx配置的http段或者server段增加以下配置:

    include       /etc/nginx/conf.d/iptables;

    路径是watch子命令配置的nginx输出日志文件路径,上述样例为默认路径,可根据自身情况修改

    支持多种配置规则,细化Nginx拦截策略

    配置重启Nginx命令

    完成配置文件更新之后,默认会调用nginx -s reload使得nginx重新按配置初始化

    如果是docker等其他情况,支持通过以下参数设置重启指令

    --nginx-workdir 指定重启命令的执行目录 --nginx-cmd 指定重启命令的命令

    例如如果是docker-compose执行的nginx命令

    --nginx-workdir指向docker-compose.yaml文件的路径 --nginx-cmd设置为"'docker-compose exec nginx -s reload'",其中替换为你的nginx service name,请注意因为该命令基本都是复杂命令,请使用引号将传入参数括起来

    最小启动间隔

    日志的检测和输出是实时探测的结果,但是在通常情况下,配置和重新加载不能根据错误实时执行,因此,设计为每隔一段时间周期执行,默认为5分钟。

    这个参数可以通过--nginx-interval修改

    配置设置级别

    因为nginx只能配置放行(allow)或不放行(deny),所以需要配置一个我们需要的错误级别,只有高于这个级别的,我们才针对性的采取deny的设置。

    这个设置通过--nginx-level我们可以设置,默认的配置为10002,也就是Illegal_UnknownUrl,具体的级别列表见上文

    配置设置错误最低次数

    我们还可以设置最低的错误次数,只有超过该次数的访问者才会被认为是恶意访问者,加入不放行规则,这个判定是按用户来的,比如一个用户访问了两个错误地址,则次数为2。

    这个设置通过--nginx-count我们可以设置,默认的配置为2

    了解更多有关OpenAPI的使用,可以访问百家饭OpenAPI站点

  • 相关阅读:
    tomcat面试和Spring的面试题
    【人工智能Ⅰ】实验1:谓词表示法与产生式知识表示
    你好呀,看到你的《发卡系统微信小程序,支持流量主广告和官方支付》这篇文章
    28岁功能测试被辞,最后结局令人感慨...
    古代汉语(王力版)笔记 绪论
    Vue3问题:如何实现拼图验证+邮箱登录功能?前后端!
    【C++】一篇了解AVL实现细节(易懂图解版)
    画质超清晰的行车记录仪,配置确实很强,盯盯拍Z50上手
    软信天成:干货分享,如何实施云迁移策略!
    【Vue】vue项目目录介绍 es6的导入导出语法 vue项目开发规范 Vue项目编写步骤
  • 原文地址:https://blog.csdn.net/baijiafan/article/details/128142258