Quiero aplicar un algoritmo en mi script de Python para la detección de ataques de inundación HTTP. La idea principal es analizar los registros de Apache en un MongoDB, pero quiero extraer solo las líneas que indican un ataque de inundación de HTTP. ¿Alguna idea por favor?
Sugeriría utilizar una herramienta que esté orientada a la agregación / análisis de registros, como la pila ELK (búsqueda elástica, Logstash y Kibana). Después de un par de horas de investigación en el contexto y las herramientas, podrá configurar un logstash pipeline y un complemento de filtro que se ajustará a sus necesidades.
El análisis deapache apache en particular es muy maduro caso de uso.
Con respecto a su pregunta específica, algunos buenos puntos de partida genéricos serían:
Detección de solicitudes de subdominio aleatorias ([gibberish] .yourdomain.com), solicitudes múltiples y aisladas dirigidas a un recurso específico de su sitio (es decir, una imagen, archivo de texto, etc.) provenientes de direcciones IP aleatorias, abuso de formularios presentes en su sitio (múltiples solicitudes a su secuencia de comandos de destino) o entradas abusivas en campos que tradicionalmente tienen procesos adjuntos (cargas de archivos mal formados / grandes).
Teniendo en cuenta el contexto de su pregunta, sugeriría que mi PoC se base en un defecto de diseño común específico o una vulnerabilidad de paquete popular para ilustrar las técnicas de detección que podrían ser relevantes.
Realice la siguiente búsqueda en google y obtendrá una vulnerabilidad de DoS que puede replicar y tiene vulnerabilidades de trabajo contra las que puede crear contramedidas: "apache dos site: exploit-db.com".