我让 Apache 和 Modsecurity 一起工作。我正在尝试通过请求的标头(例如“facebookexternalhit”)来限制命中率。然后返回友好的“429 Too Many Requests”和“Retry-After: 3”。
我知道我可以读取以下标题文件:
SecRule REQUEST_HEADERS:User-Agent "@pmFromFile ratelimit-bots.txt"
但是我在构建规则时遇到了麻烦。
任何帮助将不胜感激。谢谢。
【问题讨论】:
标签: apache security mod-security
经过 2 天的研究和了解 Modsecurity 的工作原理,我终于做到了。仅供参考,我正在使用 Apache 2.4.37 和 Modsecurity 2.9.2 这就是我所做的:
在我的自定义文件规则中:/etc/modsecurity/modsecurity_custom.conf 我添加了以下规则:
# Limit client hits by user agent
SecRule REQUEST_HEADERS:User-Agent "@pm facebookexternalhit" \
"id:400009,phase:2,nolog,pass,setvar:global.ratelimit_facebookexternalhit=+1,expirevar:global.ratelimit_facebookexternalhit=3"
SecRule GLOBAL:RATELIMIT_FACEBOOKEXTERNALHIT "@gt 1" \
"chain,id:4000010,phase:2,pause:300,deny,status:429,setenv:RATELIMITED,log,msg:'RATELIMITED BOT'"
SecRule REQUEST_HEADERS:User-Agent "@pm facebookexternalhit"
Header always set Retry-After "3" env=RATELIMITED
ErrorDocument 429 "Too Many Requests"
解释:
注意:我想限制为每 3 秒 1 个请求。
您可以通过添加@pmf 和.data 文件来改进此规则,然后初始化initcol:global=%{MATCHED_VAR} 之类的全局集合,因此您不仅限于单个规则匹配。我没有测试这最后一步(这是我现在需要的)。如果我这样做了,我会更新我的答案。
更新:
我已经调整了规则,以便能够拥有一个包含我想要限制的所有用户代理的文件,因此可以跨多个机器人/爬虫使用单个规则:
# Limit client hits by user agent
SecRule REQUEST_HEADERS:User-Agent "@pmf data/ratelimit-clients.data" \
"id:100008,phase:2,nolog,pass,setuid:%{tx.ua_hash},setvar:user.ratelimit_client=+1,expirevar:user.ratelimit_client=3"
SecRule USER:RATELIMIT_CLIENT "@gt 1" \
"chain,id:1000009,phase:2,deny,status:429,setenv:RATELIMITED,log,msg:'RATELIMITED BOT'"
SecRule REQUEST_HEADERS:User-Agent "@pmf data/ratelimit-clients.data"
Header always set Retry-After "3" env=RATELIMITED
ErrorDocument 429 "Too Many Requests"
因此,带有用户代理的文件(每行一个)位于此规则同一目录下的子目录中:/etc/modsecurity/data/ratelimit-clients.data。然后我们使用@pmf 来读取和解析文件(https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual-(v2.x)#pmfromfile)。我们使用用户代理初始化 USER 集合:setuid:%{tx.ua_hash}(tx.ua_hash 在/usr/share/modsecurity-crs/modsecurity_crs_10_setup.conf 的全局范围内)。我们只是使用 user 作为集合而不是 global。就是这样!
【讨论】: