SecGuardianLog

说明：配置用httpd-guardian脚本来监测Denial服务攻击（DoS）攻击的指令。

语法：SecGuardianLog |/path/to/httpd-guardian

例子：SecGuardianLog |/usr/local/apache/bin/httpd-guardian

处理阶段：无

适用范围：主要

版本：2.0.0

依赖/备注：默认情况下http-guardian阻止客户端在一分钟发送多于120个请求，或者在5分钟多于360个请求。

自ModSecurity1.9开始支持一种新的指令，SecGuardianLog，其目的在于使用管道日志功能访问另一个程序数据。由于通常Apache的部署是一个多进程的方式，致使信息共享困难，这个想法是在一个有状态的方式里部署一个外部进程观察所有的请求，以提供额外的保护。

一个最先进的外保护工具的开发将成为以后ModSecurity发布后的焦点。然而，一个功能齐全的工具已经可以作为Apache项目的httpd工具的一部分。该工具被称为的httpd-guardian，可以用来抵御Dos攻击。它使用黑名单工具(来自同一项目的)配合iptables-based（Linux）或pf-based（* BSD的）防火墙，动态将非法IP地址列入黑名单。它也可以配合SnortSam（http://www.snortsam.net）。假定httpd-grardian已经配置（详细介绍请看源代码），你要在Apache配置部署只需要添加一行：

SecGuardianLog |/path/to/httpd-guardian

说明：在规则集里增加一个固定的标记，在使用skipAfter动作时作为目标使用。SecMarker指令本质上创建一个规则，但它什么也不做，其唯一目的是给定一个ID。

语法：SecMarker ID

例子：SecMarker 9999

处理阶段：任何

适用范围：任何

版本：2.5.0

属地/备注：无

 

SecRule REQUEST_URI "^/$" \

    "chain,t:none,t:urlDecode,t:lowercase,t:normalisePath,skipAfter:99"

SecRule REMOTE_ADDR "^127\.0\.0\.1$" "chain"

SecRule REQUEST_HEADERS:User-Agent \

    "^Apache \(internal dummy connection\)$" "t:none"  

SecRule &REQUEST_HEADERS:Host "@eq 0" \

    "deny,log,status:400,id:08,severity:4,msg:'Missing a Host Header'"

SecRule &REQUEST_HEADERS:Accept "@eq 0" \

    "log,deny,log,status:400,id:15,msg:'Request Missing an Accept Header'"

SecMarker 99