deprecatevar
说明:根据其年龄递减计数器。
动作组:非中断性
例如:下面的例子每300秒计数器将减60。
SecAction deprecatevar:session.score=60/300
注意 计数器值总是整数,所以永远不会低于零。
drop 说明:立即启动一个“连接关闭”动作并且通过发送一个FIN包关闭
TCP连接。
动作组:中断性
例如:下面的例子将初始化一个IP集合用于跟踪用户身份验证尝试,如果客户端在2分钟内超过25次尝试,它将drop后续连接。
SecAction phase:1,initcol:ip=%{REMOTE_ADDR},nolog
SecRule ARGS:login "!^$" \
nolog,phase:1,setvar:ip.auth_attempt=+1,deprecatevar:ip.auth_attempt=20/120
SecRule IP:AUTH_ATTEMPT "@gt 25" \
"log,drop,phase:1,msg:'Possible Brute Force Attack'"
注意
这个动作目前在Windows版本下不支持。这个动作在应对暴力攻击和服务攻击时很有用,在这两种情况下,你都想尽量降低网络带宽和返回客户端的数据。这个动作引起的错误消息出现在日志”(9) Bad file descriptor: core_output_filter: writing data to the network”