Web アプリでのサービスの拒否や悪用など、ユーザーの悪い行動や攻撃を調査して検出する最善の方法は何ですか?
サーバーの統計 ( Awstats など) は、そのような目的、特に 3XX、4XX、および 5XX エラー (ここに Awstats のサンプル ページがあります) を確認するのに非常に役立ちます。これらのエラーは、多くの場合、よく知られている不正または不正な URL を試すボットまたは悪意のあるユーザーです。 .
その種の攻撃を暫定的に分析および検出するための他の(およびより良い)方法はありますか?
注 : サーバーのコンポーネント (データベースや TCP/IP など) に対する攻撃ではなく、URL ベースの攻撃について話しているのです。
すべてをログに記録します。次に、ログを手動で調べて、興味のないものを見つけ、それらのログ エントリを破棄するパーサーを作成します。それが終わったら、すすぎ、興味深いものだけが残るまで繰り返します. 興味深いログ エントリだけを読み取れるようになったので、危険なログ エントリと無害だが迷惑なログ エントリを判断し、必要に応じて修正します。
予算がある場合は、Webアプリケーションファイアウォール(WAF)を使用してください。これらは、アプリケーション層の攻撃を認識してブロックするために特別に構築されています。いくつかの安価なWAFもあり、オープンソースの1つまたは2つですらあります。
ただし、安全なコーディングなどを練習する必要があることに注意してください。WAFは、多層防御や一時的な仮想パッチに最適です。
私は通常、ナビゲーションが人間ではなく偽物によって行われたときに通常発生するイベントを追跡しようとする独自のログアナライザーを作成します。以下のように:
URL やパラメーターが不明なページへの直接アクセス
フィードバック フォームの読み込み、コンパイル、投稿が、たとえば 10 秒以内に
完了する 間違ったリファラー シーケンス HTML または投稿されたフィールド内の「重要な」文字シーケンス など...
最初に、エクスプロイトの可能性があるかどうかを説明する必要があります。URL が有効なリクエストである場合もあれば、XSS 攻撃である場合もあります。大量のトラフィックは DDoS であるか、スラッシュドットの記事で言及された結果である可能性があります。
次に、さまざまなタイプの攻撃 (DDoS など) のログを表示できます。これは、IP ツールを使用して確認する必要があります (多くの DDoS 攻撃は、SYN フラッドなどの Web 以外のポートで行われるため)。
次に、mod_security をインストールして、いくつかのルールを設定します (事前に定義されたルールセットが Web 上にたくさんあります)。これはリクエストを読み取り、一般的な攻撃または既知の攻撃 (sql または html タイプのテキストを含む URL など) を解析します。
全体的により多くのネットワークですが、SATAN は非常に優れています
http://www.porcupine.org/satan/
SATAN は、システム管理者を支援するツールです。いくつかの一般的なネットワーク関連のセキュリティ問題を認識し、実際に悪用することなく問題を報告します。