之前介绍了Nginx的两种开源waf, Naxsi 和 ModSecurity ,有人担心直接上生产会不会有问题,拦截正常请求,我想说——那是必然会影响的
现在大多WAF都是通过规则匹配请求特征,有规则,肯定就不会那么智能的避开所有正常请求,只拦截恶意请求,虽然现在有百度的openrasp等不依赖于请求特征的运行时攻击检测工具,但是也不能做到完全准确的拦截攻击或恶意请求
怎么才能比较友好的在线上接入Naxsi或ModSecurity开源waf?
这里就要参考网络防火墙,或者入侵检测系统的方法,通过流量镜像的方式,在网络故障处理中,为了更好的分析定位网络问题,我们通常会做流量镜像或者端口镜像,来保存镜像流量,用于分析恶意请求、或抓包故障定位等,我们web上也可以通过这种方式来做
怎么做呢,有很多开源的流量复制/镜像工具,比如gor、tcpcopy等,都可以用来做流量镜像
但是在Nginx下面,你就没必要这么麻烦了,Nginx早在1.13版本的时候就添加了ngx_http_mirror_module模块,就是用来做流量镜像的
Nginx的流量镜像模块,很简单,就两个指令
mirror用来指定请求将被镜像到哪个uri,可以指定多个镜像,uri也可以用相同的,相同的uri就表示将流量放大了一倍,也就是多复制了一份流量到uri,这个也是可以用来测试流量放大的情况下,后端的负载情况,简单演示
先看下不放大的情况下,请求看下
可以看到,是镜像一份请求,接着配置放大一倍,继续监听日志,查看效果
镜像两份请求,所以这个情况就能达到放大流量的效果
这里有个小的问题需要说一下,就是mirror是不支持access_log记录的,所以我这里是通过代理到另外一个server,通过另外一个server记录日志进行查看的,这个是一个需要注意的地方
流量镜像的另外一个指令就是mirror_request_body
该参数是指定是否镜像request_body部分,默认是开启的,官方文档中说,这个指令和
-
proxy_request_buffering
-
fastcgi_request_buffering
-
scgi_request_buffering
-
uwsgi_request_buffering
指令冲突,开启之后会禁用以上指令
使用该指令一定要保证mirror_request_body、proxy_pass_request_body和Content-Length配置一直,比如mirror_request_body或proxy_pass_request_body设置为off,则Content-Length必须设置为“” ,因为nginx(mirror_request_body)或tomcat(mirror_request_body)处理post请求时,会根据Content-Length获取请求体,如果Content-Length不为空,而由于mirror_request_body或者proxy_pass_request_body设置为off,处理方以为post有内容,当request_body中没有,处理方会一直等待至超时,则前者为off,nginx会报upstream请求超时
nginx的流量镜像配置就是这么简单,它的流量镜像是只复制镜像,发送到配置好的后端,但是后端响应返回到nginx之后,nginx是自动丢弃掉的,这个在官方文档介绍中就有,这个特性就保证了,镜像后端的不管任何处理都不会影响到正常客户端的请求
结合这个特性,我们就可以把waf配置在镜像流量下
之前介绍waf的文章中有waf配置的方式,这里就不多介绍了,想看的,可以看文章开头,也可以看文章后面推荐
通常waf中,拦截掉之后会返回403给客户端,当然也可以自定义,完后会记录拦截日志,利用这种机制,将waf配置在流量镜像下使用一段时间后,就可以从日志中分析出哪些正常请求会被拦截掉,从而修改waf规则,然后接入到生产数据中,这样可以有效的避免waf的FRR
