描述:通过发送FIN数据包立即关闭TCP连接。


版本:2.x


libModSecurity支持:TBI


所属动作组:阻断性动作


示例:以下示例启动IP集合以跟踪基本身份验证尝试。如果客户端在2分钟内超过25次尝试的阈值,则将DROP后续连接。


SecAction phase:1,id:109,initcol:ip=%{REMOTE_ADDR},nolog

SecRule ARGS:login "!^$" "nolog,phase:1,id:110,setvar:ip.auth_attempt=+1,deprecatevar:ip.auth_attempt=25/120"

SecRule IP:AUTH_ATTEMPT "@gt 25" "log,drop,phase:1,id:111,msg:'Possible Brute Force Attack'"


注意:此操作目前在基于Windows的版本中不可用。

在响应暴力破解和拒绝服务攻击时,此操作非常有用,因为在这两种情况下,可以最小化网络带宽和返回到客户端的数据。此操作会记录以下错误信息在日志中“(9)Bad file descriptor: core_output_filter: writing data to the network”



Created with the Personal Edition of HelpNDoc: Easy EPub and documentation editor