OSSEC监测WEB页面频繁访问
实验名称
OSSEC监测WEB页面频繁访问
实验原理
OSSEC根据HTTP日志,分析日志频率,来判断 一段时间内,是否有大量非法请求。
实验环境
三台主机 一台OSSEC服务器,已安装完成 一台OSSEC客户端,未安装OSSEC,同时安装apache作为web服务器产生日志。 一台WEB浏览器,查看监测结果,同时作为web客户端发起大量WEB请求。
实验步骤
一、在服务器上生成OSSEC客户端信息
登录OSSEC服务器 sudo -i 输入密码360College,切换root用户
生成客户端信息
/var/ossec/bin/manage_agents 注意IP地址与实验环境一致 
导出客户端密钥 注意是002,不是001 
启动服务器 /var/ossec/bin/ossec-control start
二、安装客户端,并导入信息
安装客户端
登录OSSEC客户端机器
sudo -i 输入密码360College,切换root用户
下载安装程序
wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
解压
tar -zxvf ossec-hids-*.tar.gz
进入目录安装
cd ossec-hids-*
执行安装脚本
./install.sh 注意安装agent与输入正确的服务器IP
导入客户端密钥
/var/ossec/bin/manage_agents
启动客户端
/var/ossec/bin/ossec-control start
三、查看WEB页面
登录windows机器 ,查看OSSEC的WEB
四、安装apache,并发送日志
登录OSSEC-CLIENT
yum install -y httpd
配置apache页面
vim /var/www/html/test.txt 输入任意内容,保存退出
发送apache日志
添加日志读权限 chmod +r /var/log/httpd/access_log 编辑OSSEC配置 vim /var/ossec/etc/ossec.conf
加入以下内容,注意位置
<localfile>
<log_format>apache</log_format>
<location>/var/log/httpd/access_log</location>
</localfile>
保存退出后,重启客户端
/var/ossec/bin/ossec-control restart
五、新建服务器规则
登录 OSSEC服务器操作
vim /var/ossec/rules/web_rules.xml
在最后加入
<rule id="31179" level="3">
<if_sid>31108</if_sid>
<url>.txt</url>
<description>target url </description>
</rule>
<rule id="31180" level="13" frequency="15" timeframe="60">
<if_matched_sid>31179</if_matched_sid>
<same_source_ip />
<description>alert_attack </description>
<group>DDOS</group>
</rule>
保存退出后,重启服务器端服务
/var/ossec/bin/ossec-control restart
六、验证配置
使用windows浏览器访问 test.txt页面,并不断刷新。根据我们规则31179配置,访问.txt会生成级别为3的告警 根据规则31180在60秒到访问15次(实际执行会+2,即17次),会产生级别为13的告警 
实验小结
目前我们已经可以针对 源IP地大量访问进行告警。下节实验我们继续,联动IPS进行阻断源IP访问。
