Come rilevare attività anomale nel traffico del server web?

1

Mi chiedo come rilevare correttamente attività dannose nel traffico del mio server web?

Potresti indicarmi alcune soluzioni popolari che possono aiutarmi a rilevare attacchi sulla mia applicazione web?

Non ho trovato domande simili con una risposta sufficiente.

Apprezzerò qualsiasi risposta.

B

    
posta boleslaw.smialy 08.01.2014 - 11:30
fonte

3 risposte

6

Sembra che quello che stai cercando di fare sia il rilevamento delle intrusioni, ma a livello di applicazione Web (livello 7). Questo è solitamente definito come un Application Firewall (WAF).

(Nota le differenze tra un IDS / IPS di rete e un WAF: link )

I firewall di applicazioni Web sono generalmente progettati per prevenire e rilevare / avvisare, sebbene abbiano la capacità chiave di analizzare il traffico Web per sospette attività dannose. Come regola generale, sembrano includere funzionalità di registrazione e avviso oltre alla prevenzione.

Alcune soluzioni potenziali includono:

Un elenco di WAF da OWASP: link

Questi sono esempi di implementazioni popolari piuttosto che raccomandazioni personali.

    
risposta data 08.01.2014 - 15:12
fonte
3

In realtà non possiamo prevedere quale attacco il tuo server potrebbe ottenere in tal modo è molto difficile implementare un sistema di sicurezza perfetto.

Ma puoi evitarlo e devi aggiornarlo ancora e ancora. Le seguenti sono le possibili soluzioni per monitorare il traffico del web server,

  1. Solitamente l'autore di un attacco usava inviare picchetti di dimensioni molto piccole (in bit) che il firewall non può controllare e resistere, quindi dovresti rendere strong il tuo firewall.
  2. Uso del programma antivirus.
  3. Utilizzo dello strumento analizzatore di pacchetti per monitorare il traffico (tipo di lavoro manuale necessario da eseguire qui)

E possibilmente pronto questo documento ti aiuterà poco più

    
risposta data 08.01.2014 - 12:37
fonte
1

Dovresti sapere qual è il traffico previsto e inoltre dovresti avere una previsione di rendimento. Se vedi qualcosa fuori dai limiti, allora sai che sta succedendo qualcosa e devi cercare ulteriormente il problema, controllando il registro del server web, il registro del firewall, il registro IDS, ecc.

    
risposta data 08.01.2014 - 12:36
fonte