客服电话
APP下载
迪恩网络APP
随时随地掌握行业动态
官方微信
扫描二维码
关注迪恩网络微信公众号
0x01 前言ngx_lua_waf实现 WAF一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。所以本文中的WAF的实现由五个模块(配置模块、协议解析模块、规则模块、动作模块、错误处理模块)组成。 原版本主要的功能如下: 1.防止sql注入,本地包含,部分溢出,fuzzing测试,xss,s-s-rF等web攻击 2.防止svn/备份之类文件泄漏 3.防止ApacheBench之类压力测试工具的攻击 4.屏蔽常见的扫描黑客工具,扫描器 5.屏蔽异常的网络请求 6.屏蔽图片附件类目录php执行权限 7.防止webshell上传
二次改造后的规则拦截功能: 1.支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。 2.支持URL白名单,将不需要过滤的URL进行定义。 3.支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。 4.支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。 5.支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。 6.支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。 7.支持URL参数过滤,原理同上。 8.支持日志记录,将所有拒绝的操作,记录到日志中去。 9.日志记录为JSON格式,便于日志分析,例如使用ELKStack进行攻击日志收集、存储、搜索和展示
0x02 Nginx + Lua部署系统环境:centos7.0x64
1.进入到/usr/local/src目录下 [root@localhost src]# cd /usr/local/src 2.分别下载Nginx安装必备的Nginx和PCRE软件包以及当前最新的luajit和ngx_devel_kit (NDK)软件包和春哥编写的lua-nginx-module。 [root@localhost src]# wget http://nginx.org/download/nginx-1.9.4.tar.gz [root@localhost src]#wget https://ftp.pcre.org/pub/pcre/pcre-8.37.tar.gz --no-check-certificate
[root@localhost src]#wget http://luajit.org/download/LuaJIT-2.0.4.tar.gz [root@localhost src]# wget https://github.com/openresty/lua-nginx-module/archive/v0.9.16.tar.gz --no-check-certificate [root@localhost src]# wget https://github.com/simpl/ngx_devel_kit/archive/v0.2.19.tar.gz --no-check-certificate
3. 创建Nginx运行的普通用户 [root@nginx-lua src]# useradd -s /sbin/nologin -M www 4.分别在当前目录下解压已下载的软件包 [root@localhost src]# tar zxvf v0.2.19.tar.gz [root@localhost src]# tar zxvf v0.9.16.tar.gz
[root@localhost src]# tar zxvf pcre-8.37.tar.gz
[root@localhost src]# tar zxvf LuaJIT-2.0.4.tar.gz 5. 安装Luajit以及需要编译的gcc编译环境。 [root@localhost src]# cd LuaJIT-2.0.3 [root@localhost src]#yum install gcc [root@localhost src]# make && make install
6. 安装Nginx并加载模块以及需要编译的openssl模块和c++模块。 [root@localhost LuaJIT-2.0.4]# cd .. [root@localhost src]# tar zxvfnginx-1.9.4.tar.gz
[root@localhost src]# export LUAJIT_LIB=/usr/local/lib [root@localhost src]# export LUAJIT_INC=/usr/local/include/luajit-2.0
[root@localhost nginx-1.9.4]# yum -y install openssl openssl-devel
[root@localhost nginx-1.9.4]# ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_ssl_module --with-http_stub_status_module --with-file-aio --with-http_dav_module --add-module=../ngx_devel_kit-0.2.19/ --add-module=../lua-nginx-module-0.9.16/ --with-pcre=/usr/local/src/pcre-8.37/
[root@localhost nginx-1.9.4]# yum -y install gcc-c++
[root@localhost nginx-1.9.4]# make -j2 && make install
7. 创建软连接动态库连接 [root@localhost nginx-1.9.4]# ln -s /usr/local/lib/libluajit-5.1.so.2 /lib64/libluajit-5.1.so.2
8.启动nginx服务 root@localhost nginx-1.9.4]# /usr/local/nginx/sbin/nginx-t [root@localhost nginx-1.9.4]# /usr/local/nginx/sbin/nginx
9关闭centos7自带的防火墙 [root@localhost nginx-1.9.4]# sed -i 7s/enforcing/disabled/ /etc/selinux/config [root@localhost nginx-1.9.4]# systemctl stop firewalld.service
10.远程访问http:// 172.16.89.145,显示页面如下,表示已成功安装nginx
11.安装git服务 [root@localhost src]# yum install git
12.克隆下载ngx_lua_waf, nginx安装路径假设为:/usr/local/nginx/conf/ 把ngx_lua_waf下载到conf目录下,解压命名为waf [root@localhost src]# git clone https://github.com/loveshell/ngx_lua_waf.git [root@localhost ngx_lua_waf]# cd /usr/local/nginx/conf/ [root@localhost conf]# mkdir waf
[root@localhost ngx_lua_waf]#cp -R /usr/local/src/ngx_lua_waf/* /usr/local/nginx/conf/waf/
注意,其主要目录信息如下: ├── config.lua #waf的配置文件 ├── init.lua #读取waf的规则文件 ├── install.sh #waf安装文件,需要做修改 ├── README.md #说明文档 ├── wafconf #规则库 │ ├── args #get请求的参数过滤规则 │ ├── cookie #cookie过滤规则 │ ├── post #post请求过滤规则 │ ├── url #get请求的URL过滤规则 │ ├── user-agent #user-agent过滤规则 │ └── whiteurl #白名单 └── waf.lua #waf规则执行文件
13.在nginx.conf中的http段进行配置 [root@localhost waf]# vi /usr/local/nginx/conf/nginx.conf 大概的配置信息如下,Nginx.conf: lua_package_path "/usr/local/nginx/conf/waf/?.lua"; lua_shared_dict limit 10m; init_by_lua_file/usr/local/nginx/conf/waf/init.lua; access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;
14.修改ngx_lua_waf下的config.lua文件 root@localhost waf]# vi /usr/local/nginx/conf/waf/config.lua
[root@localhost logs]# mkdir waf
配置详细信息如下,config.lua: RulePath = "/usr/local/nginx/conf/waf/wafconf/" --规则存放目录 attacklog = "off" --是否开启攻击信息记录,需要配置logdir logdir = "/usr/local/nginx/logs/waf/" --log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限 UrlDeny="on" --是否拦截url访问 Redirect="on" --是否拦截后重定向 CookieMatch = "on" --是否拦截cookie攻击 postMatch = "on" --是否拦截post攻击 whiteModule = "on" --是否开启URL白名单 black_fileExt={"php","jsp"} --填写不允许上传文件后缀类型 ipWhitelist={"127.0.0.1"} --ip白名单,多个ip用逗号分隔 ipBlocklist={"1.0.0.1"} --ip黑名单,多个ip用逗号分隔 CCDeny="on" --是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;) CCrate = "100/60" --设置cc攻击频率,单位为秒. --默认1分钟同一个IP只能请求同一个地址100次 html=[[Please go away~~]] --警告内容,可在中括号内自定义 备注:不要乱动双引号,区分大小写 15.重启nginx服务 /usr/local/nginx/sbin/nginx -s reload 16.访问带恶意的连接地址,出现如下信息表示ngx_lua_waf已部署成功。 http://172.16.89.145/?s=../etc/passwd
0x03 记录WAF日志拦截记录1.给logs日志记录添加授权用户www(该用户是nginx运行的用户)。 [root@localhost waf]# chown -R www.www /usr/local/nginx/logs/waf/ 2.给logs目录进行添加写入权限。 [root@localhost waf]# chmod 700/usr/local/nginx/logs/waf/
3.可查看WAF记录的日志信息 [root@localhost waf]# cat localhost_2018-06-05_sec.log
0x04 其他规则说明过滤规则在wafconf下,可根据需求自行调整,每条规则需换行,或者用|分割 args里面的规则get参数进行过滤的 url是只在get请求url过滤的规则 post是只在post请求过滤的规则 whitelist是白名单,里面的url匹配到不做过滤 user-agent是对user-agent的过滤规则 默认开启了get和post过滤,需要开启cookie过滤的,编辑waf.lua取消部分--注释即可日志文件名称格式如下:虚拟主机名_sec.log
0x05 总结
计划大概实施步骤:
1.不要一次性部署上线,先部署后,只记录日志,然后观察和调整规则,保证正常的请求不会被误防。 2.使用SaltStack管理规则库的更新。 3.使用ELKStack进行日志收集和分析,非常方便的可以在Kibana上做出一个漂亮的统计的饼图。(目前也能实现)
|
请发表评论