检测web应用程序攻击的最佳方法是什么？

Question

调查和检测不良用户行为或攻击的最佳方法是什么，比如拒绝服务或在我的web应用上利用漏洞？

我知道服务器的统计数据(如Awstats)对于这种目的非常有用，特别是在查看3XX、4XX和5XX错误(here's an Awstats example page)时，这些错误通常是机器人或恶意用户，他们尝试众所周知的错误或格式错误的URL。

有没有其他(更好的)方法来分析和检测这种试探性的攻击？

注意:我说的是基于URL的攻击，而不是对服务器组件(如数据库或TCP/IP)的攻击。

Answer 1

把一切都记下来。然后手动检查日志，找出不感兴趣的内容，并编写一个解析器来丢弃这些日志条目。一旦你这样做了，冲洗并重复，直到你只剩下有趣的东西。现在您只有有趣的日志条目可供读取，确定哪些是危险的，哪些是无害但恼人的，并根据需要进行修复。

Answer 2

如果您有足够的预算，请使用Web应用程序防火墙(WAF)。它们是专门为识别和阻止应用层攻击而构建的。也有一些便宜的WAF，甚至有一两个开源的。

但是请注意，你仍然应该练习安全编码等；WAF对于深度防御和临时虚拟补丁非常有用。

Answer 3

首先，你必须说出什么是或不是一个潜在的漏洞，有时一个url可能是一个有效的请求，有时它可能是一个XSS攻击。许多流量可能是DDoS，也可能是在slashdot文章中提到的结果。

接下来，您可以查看各种类型攻击的日志-例如DDoS，您需要使用IP工具检查这些攻击(因为许多DDoS攻击都是在非web端口上进行的，例如SYN洪水)。

然后，您需要安装mod_security并为其设置一些规则(您可以在web上找到许多预定义的规则集)。这将读取请求并对其进行分析，以发现常见或已知的攻击(例如包含sql或html类型文本的urls )。