【请教关于攻击拦截和NIDS】

墨迹哥

之前在论坛里面讨论过有关Perl WEB日志的分析，目前这个是懂了。
但是日志分析过后有个情况，发现了攻击以后如何让这个访问拒绝掉？
例如：
    我访问GET http://xxx.com/1.asp
    在日志里面通过Perl已经检测到有该请求，然后我直接把访问重置到http://www.baidu.com去。

关于这个，我找到了一些相关的资料，但是感觉还是有些迷茫不太理解，请教各位论坛里面的前辈。
我找到了Nids 这个模块，据说NIDS上有个reset重置的功能，能够将访问重置。
但是看了下貌似木有。
http://search.cpan.org/~abergman/Net-LibNIDS-0.01/LibNIDS.pm
以上就是我找到的模块，不知道有没有人用过？

laputa73

你又出现了.
你这个这么搞是不行的,等你分析出来,人家都已经访问完成了,还拦截个啥.

墨迹哥

回复 2# laputa73


    之前忙着换工作。。远离雾霾。。。

    现在工作弄好了，准备继续弄点技术搞搞。。

    你觉得这个该咋整。。我看到那些人用Lua做个WAF拦截，那个太高端了。

    有木有别的方案？

laputa73

webserver是你自己么?
还是要搞通用的?
说明一下你的原始需求.

laputa73

发现是攻击,应该在防火墙上直接drop掉,封掉ip
而不是放到web server上作redirect,你这不是害百度嘛....

墨迹哥

回复 4# laputa73


    现在有4为数的WEB服务器，攻击者每天搞WEB扫描、手工检测、批量刷号等等的操作。

    现在要考虑如何解决这些问题。

墨迹哥

回复 5# laputa73


    我也是这么想的。。。。可是人家百度这么牛逼。不会介意的。。。

    再说，人家百度会特地上CU喷我么。。。小学生表示不信。。。

laputa73

web server也是有地址列表的.针对地址列表搞一些预处理就好了,
http://mawenjian.net/p/1135.html
如果本身的规则不够丰富,可以前端加一个nginx,
然后nginx在转发前,判断一下地址,黑名单的就redirect.. 这样.
perl就是更新这个黑名单,并且定期reload nginx.

墨迹哥

回复 8# laputa73


   好像蛮复杂的样子。。。

   目前我就两条路线，一个是drop IP , 一个是部署waf ，就那个lua的。

   但是小伙伴反映部署waf会导致webserver当机。。。灰常担心。。

   目前只能说dropIP了。你说的在前端加nginx，估计不会同意。。因为本身就是一堆nginx。。。

   我再去想下看看还有木有别的方法。。

   我突然想起之前问你的那个问题，我特白痴。。其实perl根本就不需要切割，什么续传。。直接传到httpsqs

   然后抓下来就OK了。。。我纯属蛋疼。。。

墨迹哥

回复 8# laputa73


    htaccess 这个方案好。。我可以考虑下批量reload。。。