我服务器(http://www.toplee.com/blog/) 就曾经收到过类似测试攻击(就是估计别人是为了练手并非真要针对我)搞得很头疼我些朋友应用也遇到过类似烦恼基本上都通过安装 mod_dosevasive得到了较好解决下面我就来以我在FreeBSD上安装基于Apache2.2.2mod_dosevasive经过给大家分享下经验顺便进步讲述下mod_dosevasive特性
mod_dosevasive通过对来访IP地址和访问URI建立内部动态哈希表来检测是否有攻击如果有如下行为将拒绝该IP访问:
1. 每秒对同页面请求数超过平时(原文:Requesting the same page more than a few times per second)
2. 每秒同个子进程有超过50次并发请求
3. 临时被拒绝(在blacklist中)时候还不断进行请求
mod_dosevasive可以非常方便和防火墙、路由器等进行整合进步提高抗拒绝服务能力和别防攻击工具样mod_dosevasive同样收到带宽、系统处理能力等原因影响所以要想应对大规模攻击最好方式就是把mod_dosevasive和您防火墙和路由器进行整合而不是简单安装成为独立Apache模块
mod_dosevasive在apache2.2.2上安装思路方法:
、使用源码安装:
1、下载
#cd /tmp (任何别目录都行)
#wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz
2、解压缩
#tar -zxvf mod_dosevasive_1.10.1.tar.gz
#cd mod_dosevasive
3、以动态模块方式编译
# apxs -i -a -c mod_dosevasive20.c
4. 修改/etc/httpd/conf/httpd.conf文件加入对模块支持:
LoadModule dosevasive20_module libexec/apache22/mod_dosevasive20.so
2、使用FreeBSDport进行安装(强烈推荐此方式)
#cd /usr/ports/www/mod_dosevasive20
#make clean
至此完成了mod_dosevasive安装重启apache服务后它就开始工作了这个时候您如果不作任何别设置它也可以使用默认配置为您提供良好防攻击能力当然您也可以自己进行些参数定制配置可选参数如下:
在您httpd.conf文件中加入类似下面部分
Apache 1.3.x
<IfModule mod_dosevasive.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
</IfModule>
Apache 2.x
<IfModule mod_dosevasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
</IfModule>
参数简单介绍说明:
DOSHashTableSize 3097 记录和存放黑名单哈西表大小如果服务器访问量很大可以加大该值
DOSPageCount 5 同个页面在同时间内可以被统个用户访问次数超过该数字就会被列为攻击同时间数值可以在DosPageInterval参数中设置
DOSSiteCount 50 同个用户在同个网站WebSite内可以同时打开访问数同个时间数值在DOSSiteInterval中设置
DOSPageInterval 2 设置DOSPageCount中时间长度标准默认值为1
DOSSiteInterval 2 设置DOSSiteCount中时间长度标准
DOSBlockingPeriod 10 被封时间间隔秒这中间会收到 403 (Forbidden) 返回
其他可选参数:
DOSEmailNoty [email protected] 设置受到攻击时接收攻击信息提示邮箱地址
DOSCommand “su – someuser -c ‘/sbin/… %s …’” 受到攻击时Apache运行用户执行系统命令
DOSLogDir “/var/lock/mod_dosevasive” 攻击日志存放目录BSD上默认是 /tmp
下面是我服务器上看到些日志情况:
#cd /tmp
#ll |wc -l
2303
#ls
......
dos-218.64.69.71 dos-219.80.33.54 dos-222.214.156.211
dos-218.64.79.59 dos-219.82.143.127 dos-222.214.2.148
dos-218.64.81.162 dos-219.82.46.245 dos-222.214.206.162
dos-218.65.102.178 dos-220.113.43.61 dos-222.214.207.191
......
#more dos-218.64.69.71
30611
可以看到这个ip地址有30611次访问攻击被记录!!!
最新评论