是否有可能使用mod_security和apache 2.2来限制基于HTTP头值的请求?
我正在尝试这些规则:
SecRule REQUEST_URI ".+" "phase:1,pass,t:none,id:'20',nolog,initcol:resource=%{HTTP:custom-id},setvar:resource.requests.byid=+1,expirevar:resource.requests.byid=1" SecRule resource:requests.byid "@gt 5" "phase:1,pass,t:none,id:'21',log,logdata:'GENERAL blocking by id %{HTTP:custom-id} req/sec: %{resource.requests.byid}',setvar:resource.block.byid=1,expirevar:resource.block.byid=5" SecRule resource:block.byid "@eq 1" "phase:1,deny,t:none,id:'22',nolog,status:509" 对这个应用程序的请求总是有自定义的HTTP头custom-id ,这是唯一的每个客户端,我想确保没有客户端可以轰炸服务器。 标头严格执行,不可欺骗。
速度限制部分是全局应用,而不是每个自定义的id值,因为所有的请求被拒绝超过5 rps,我也看不到在mod_security日志文件中的头值。 我已经尝试了第一阶段和第二阶段的规则,但都没有成功。