Apicat 更新 Nginx 自动恶意拦截功能


OpenAPI Log Cat(下简称APIcat)是一款基于OpenAPI定义文档对nginx/阿里云日志进行分析的开源工具,和原有网络日志分析工具多从底层或常见漏洞匹配的扫描逻辑不同,得益于OpenAPI定义文档的加入,对日志分析可以深入到应用逻辑层面。

APIcat 报告-防护-检测三部曲完成第二步。

APIcat本周在原有API日志分析报告的基础上,进行了防护层级的开发工作。

实时检测日志文件,实现对日志访问的实时分析

在报告逻辑中,APIcat主要实现了全文读取日志文件的功能,在防护逻辑中,主要依靠实时读取日志来进行分析,对所有日志中记录的所有访问行为,细分成了以下几个层次:

编号 程序显示 说明
9999 UnknownError 未知错误(内部错误,日常不会出现)
10000 Legal 合法访问
10001 Illegal_StaticView Openapi文件中没有定义过的静态文件
10002 Illegal_UnknownUrl Openapi文件中没有定义过的非静态文件(危险级别较静态文件高)
10003 Illegal_Method Openapi中定义过url,但是访问方法错误
10004 Illegal_EmptyArgs Openapi中定义过该url和对应的访问方法,但未提交任何参数
10005 Illegal_UnexpectedArgs Openapi中定义过该url和对应的方法,但访问提交的参数不符合定义中规定的参数范围
10006 Illegal_DiffusedArgs Openapi中定义过该url和对应的方法,但访问提交的参数被判定为滥用

联动生成Nginx IP规则,实现恶意访问防护

APIcat实时获取日志进行分析之后,目前实现了对Nginx配置的自动更新,通过配置deny/allow规则实现对恶意访问者的拦截。

APIcat 的nginx过滤方式会自动维护一个包含所有ip deny列表的文件,如果需要启用,需要在nginx配置的http段或者server段增加以下配置:

include       /etc/nginx/conf.d/iptables;

路径是watch子命令配置的nginx输出日志文件路径,上述样例为默认路径,可根据自身情况修改

支持多种配置规则,细化Nginx拦截策略

配置重启Nginx命令

完成配置文件更新之后,默认会调用nginx -s reload使得nginx重新按配置初始化

如果是docker等其他情况,支持通过以下参数设置重启指令

--nginx-workdir 指定重启命令的执行目录 --nginx-cmd 指定重启命令的命令

例如如果是docker-compose执行的nginx命令

--nginx-workdir指向docker-compose.yaml文件的路径 --nginx-cmd设置为"'docker-compose exec <PROXY> nginx -s reload'",其中<PROXY>替换为你的nginx service name,请注意因为该命令基本都是复杂命令,请使用引号将传入参数括起来

最小启动间隔

日志的检测和输出是实时探测的结果,但是在通常情况下,配置和重新加载不能根据错误实时执行,因此,设计为每隔一段时间周期执行,默认为5分钟。

这个参数可以通过--nginx-interval修改

配置设置级别

因为nginx只能配置放行(allow)或不放行(deny),所以需要配置一个我们需要的错误级别,只有高于这个级别的,我们才针对性的采取deny的设置。

这个设置通过--nginx-level我们可以设置,默认的配置为10002,也就是Illegal_UnknownUrl,具体的级别列表见上文

配置设置错误最低次数

我们还可以设置最低的错误次数,只有超过该次数的访问者才会被认为是恶意访问者,加入不放行规则,这个判定是按用户来的,比如一个用户访问了两个错误地址,则次数为2。

这个设置通过--nginx-count我们可以设置,默认的配置为2

 

了解更多有关OpenAPI的使用,可以访问百家饭OpenAPI站点

 


相關推薦

2022-12-10

基于OpenAPI定义进行增强HTTP日志分析的开源工具APIcat(项目主页)本周更新了阿里云相关功能,构建了从日志分析到实时拦截规则创建的整体流程。 APIcat通过阿里云Logstore功能读取日志,并通过SLB拦截规则创建接口实现拦截规则

2023-05-12

更新说明 ApiCat 迎来了 v2.2.0 版本,在原基础上优化了 AI 生成内容的准确度,并且修复了一些 Bug,增加了用户功能。 仓库地址:apicat: ApiCat是一款基于AI技术的API开发工具,分析识别用户输入的API需求,自动生成相应的API文

2023-06-15

更新说明 ApiCat 迎来了 v2.4.0 版本 本次版本增加了: 团队成员以及成员权限,可以方便的管理团队内的所有成员。 项目成员以及成员权限,现在可以添加团队中的成员进入项目中,并为成员分配不同权限操作项目。 同

2023-08-23

ApiCat v2.8.0 已经发布,基于 AI 技术的 API 开发工具。 此版本更新内容包括: 功能 增加了迭代功能,来为每个开发迭代计划 API,使工作更加清晰 增加了通过 Azure 调用 OpenAI Bug 修复 修复了一些 Bug 详情查看:https://gi

2024-06-15

ApiCat v2.10.5 已经发布,基于 AI 技术的 API 开发工具 此版本更新内容包括: 功能 openapi 和 swagger 导入支持 allof、anyof 和 oneof。 支持为参数设置多种类型。 添加了合并其他模型参数的功能。 Bug 修复 修复了一些 Bug

2023-11-21

ApiCat v2.9.2 已经发布,基于 AI 技术的 API 开发工具 此版本更新内容包括: 功能 增加了 OpenAPI 中多个 example 的支持 ###Bug 修复 修复了在删除全局参数时解引用出现的错误 详情查看:https://gitee.com/apicat/apicat/releases/v2.9.2

2023-10-18

,兼容性好,可以跟其他的安全软件很好并存。 版本更新说明(3.3.0) 首页概况 添加 “增强防御” 功能 规则模板 添加磁盘命令监控事件(需要使用高级模板) 添加“增强模板” 禁止调用COM对象

2024-03-21

ApiCat oauth 已经发布,这是一个基于 AI 技术的 API 开发工具。 此版本更新内容包括: Bug 修复 修复 github oauth 设置不生效的 bug。 详情查看:https://gitee.com/apicat/apicat/releases/oauth

2022-01-11

ystems)的一个研究小组开发了一套独特的解决方案来检测恶意软件。该解决方案使用树莓派为主体,借助与之配套的设备来扫描电脑中发出的电磁波,通过分析电磁波即可得知此时是否有恶意活动正在发生。在测试期间,该检测

2022-11-26

动记录,有效的帮助开发人员针对性的防御 1.1 版本更新功能 调整同步频率,保证信息能及时得到回馈 调整分析数据,保证更精准的拦截非法的 IP 优化数据获取,减少对节点服务器的压力 洛甲 WAF, 它能做什么

2023-04-01

被作者直接关闭了 issue。 该作者在2022年4月14日的一次更新中使用了上传 trojan 节点链接的代码,替换了原来加入 netdata 云监控的代码。通过查找其他用户克隆的仓库证实了这一说法。在被曝光后不久,作者删除了项目的 GitHub

2022-06-23

中有多个 "WWW-Authenticate" header 头,并且代码 401 的错误被拦截或使用了“auth_request”指令,则 nginx 仅将第一个 header 头发送到客户端。 Change: the logging level of the "application data after close notify" SSL errors has been lowered from "crit" to "i

2022-03-15

广告拦截,该扩展还能阻止跟踪器、挖矿、弹出式窗口、恶意网址等。而且 Firefox 版本的 uBlock Origin 相比其他平台功能更加全面,提供的保护程度更高,以 CNAME 跟踪为例,Firefox 版本就提供了这方面的保护,而 Chrome 版本则没有

2023-06-16

执行信息操作,提高安全性等。 经过两个大的系统版本更新后,苹果觉得 MailKit 框架已经足够成熟,因此从 macOS Sonoma 起,系统将不再支持传统的邮件插件,未来 MailKit 框架将是为邮件创建插件的唯一方式。 日前 AltServer 的开