设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:SecYe > 网络安全 > 应用安全 > 正文

Tengine WAF 实践

时间:2016-12-22 13:42 来源:MottoIN 作者:lanzbupt 阅读:

对于WAF大家都不陌生,很多公司都有自研waf,基本是往智能化、集群化发展。但还是会存在一些细微的场合,是这些大型waf覆盖不到的,这时候就需要一款轻巧灵便又简易高效的waf。

Tengine自nginx发展而来,是源自淘宝的开源项目,新增了很多高级功能和特性。 基于tengine的防攻击模块,最初我尝试了mod-security,但有一个bug, 在大并发的时候狂吃内存,直至拖垮应用,不知道这个问题现在解决没有。 后来转向ngx_lua_waf(感谢loveshell),并在此基础上做了部分改良, 觉得效果不错,就推荐给大家。

0x01 部署

部署简单,拿来就能用。整个工程是基于centos6.x,已经编译好了。

如果是其他系统,需要重新编译一遍tengine,使支持lua模块。

下载 https://github.com/lanzsec/tengine_waf.git 工程到/usr/local/tengine 目录
chown –R nobody:nobody /usr/local/tengine
cp –r /usr/local/tengine/lib/* /usr/lib64/
配置 /usr/local/tengine/conf/server/ 站点
参照模板,比普通的vhosts配置只在location下面多了一行 access_by_lua_file
cd /usr/local/tengine/sbin && ./nginx

0x02 WEB 防护

规则目录为tengine/conf/wafconf/,提供了多维度的web防护策略,有以下几个文件:

user-agent 匹配拦截恶意的user-agent
url 匹配拦截恶意的网页路径
args 匹配拦截恶意的GET请求参数
post 匹配拦截恶意的post请求参数
cookie 匹配拦截恶意的cookie 请求
whitetip ip白名单
whiteurl 网页路径白名单
blockip ip黑名单

整个配置文件规则为文本格式,简单易懂,每条规则支持正则匹配,例如下面whiteip的规则表示:把来自本机和192.168.100网段的请求加入白名单。

#whiteip
127.0.0.1
^192\.168\.100.\

0x03 CC防护

防cc攻击,也有很多方法,但大都功能比较少。Tengine waf 的目的就是要做功能强大,支持多样的场景需求。

配置文件路径tengine/conf/wafconf/denycc , 一条规则有3部分组成:

waf1

第一部分为token, token最多由3项组成,中间用“+”拼接。每一项可以是以下值:

ip 表示客户端ip
domain 表示域名,有多个域名反代的时候可以区分
uri 表示整个uri页面路径
uri:/xx/yy.php 表示匹配xx/yy.php 的 uri
GetParam:xxx 表示GET参数xxx的值
PostParam:xxx 表示POST参数xxx的值
CookieParam:xxx 表示Cookie参数xxx的值
header:imei 表示http头参数imei的值

第二部分为频率阀值,前者表示次数,后者表示时间(单位秒),例如30/60 表示: 60秒内请求达到30次。

第三部分为封禁时间,单位为秒。

示例一:

ip+uri 60/60 3600

如上规则表示为:如果来自同一个ip同一页面的请求次数超过每分钟60次,则对其封禁1小时。

示例二:

假如我不需要对所有页面去做流控,只需要对特定页面做限制即可。比如说登录页面/logon.php 和 短信验证码页面 /sms/send.php,

防止暴力破解和短信炸弹,则配置可以为:

ip+uri:logon.php 60/60 1800
ip+uri:/sms/ 10/60 3600

首先允许配置多条规则,其次uri采取正则匹配的形式,/sms/ 则匹配了所有路径含有/sms/的页面。

示例三:

假如网站架构不一样,比如api结构的,gateway?api=logon&则token 可以为 ip+GetParam:api。表示特定ip对某个api接口访问频次不超过每分钟60次,否则封禁半小时。

ip+GetParam:api 60/60 1800

示例四:

假如我想根据用户维护来做限制,禁止某些用户操作太频繁,首选要取得用户标识,比如GetParam:userid 或者CookieParam:sessionid,再根据实际情况去组合规则,表示对每个登录用户访问频次不能超过每分钟30次,否则封禁半小时。

CookieParam:sessionid 30/60 1800

0x04 Q&A

4.1 为什么是centos, 为什么部署路径是/usr/local/?

因为这是已经编译好的版本,我待过的几家互联网公司用的基本都是centos系统。

如果不放心或者不适用,请自行编译tengine,半天时间应该够了。

也不用担心/usr目录不够大,默认情况下acces日志和攻击拦截日志都在/usr/local/tengine/logs 目录下,但可以随便改到其他目录。

4.2 有没有控制开关?

有开关,在conf/config.lua里, 有6个开关,分别对应各个配置文件功能是否开启。

urlMatch="on"
cookieMatch="on"
postMatch="on"
whiteurlMatch="on"
whiteipMatch="on"
blackipMatch="on"
denycc="on"

还有一个总开关,默认关闭,当开启了只进行检测,不进行拦截,若是匹配到规则了会记录到攻击日志中。

OnlyCheck="off"

如果不想用这个防攻击模块了,也很简单,把conf/server/ 目录下站点的配置文件 access_by_lua_file 这一行去掉,即和普通的tengine一样了。

4.3 某个ip被封禁了为什么还有请求过来?

注意这里实行的是宽封禁,即封禁也需要满足token条件,假如规则为ip+uri:/abcd/ 命中被封禁了,则只封这个ip并带有abcd目录的访问,这个ip访问其他页面仍旧不封禁。所以默认策略下token参数越多,封禁力度就越小。 建议读下代码,想改成全封禁也很容易。

如发现bug或者有什么建议,欢迎随时联系caobinbupt@foxmail.com

0x05 项目地址

https://github.com/lanzsec/tengine_waf.git

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%