在 Apache mod_evasive

mod_evasive 是规避机动模块,用于提供 HTTP DoS 攻击或蛮力攻击规避动作的 Apache。它也设计为一个检测和网络管理工具,并可以方便地配置谈谈 ipchains、 防火墙、 路由器和更多。mod_evasive 目前报告滥用通过电子邮件和系统日志的设施。本指南假定您已经有灯服务器配置。设置灯堆栈指南可以根据我们的灯指南部分发现。
系统必备组件

mod_evasive 已超出标准灯安装的只是一个前提。若要安装此模块,只是在 SSH root 运行以下命令:

Debian / Ubuntu:

apt-get 来安装 apache2 utils

CentOS / 软呢帽:

百胜餐饮集团安装 httpd 发展

安装 mod_evasive

你首先要获取 mod_evasive 包,解压缩它,以及如何安装它使用确认:

cd/usr/src
wget http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz
焦油 xzf mod_evasive_1.10.1.tar.gz
cd mod_evasive
apxs2-cia mod_evasive20.c

然后,你需要向你的 Apache 配置文件中添加 mod_evasive 配置。第一,找这一个区段:

/etc/apache2/apache2.conf (debian / Ubuntu)

# 包括模块配置:
包括 mods 启用 *.load
包括 mods 启用 *.conf

/etc/httpd/conf/httpd.conf (centOS / Fedora)

LoadModule evasive20_module /usr/lib/httpd/modules/mod_evasive20.so
#

以下这些部分,添加 mod_evasive 配置:

mod_evasive 配置

< IfModule > mod_evasive20.c
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 60
DOSEmailNotify < someone@somewhere.com >

然后,您将需要重新启动 Apache 所做的更改才会生效:

Debian / Ubuntu:

/etc/init.d/apache2 重新启动

CentOS / 软呢帽:

/etc/init.d/httpd 重新启动

mod_evasive 配置选项

这些配置选项的描述直接取自与您在安装过程中下载 mod_evasive tar 文件打包在一起的自述文件。
DOSHashTableSize

哈希表的大小定义为每个孩子的哈希表的顶级节点的数目。增加这一数字将提供更快的性能通过降低去记录,但会消耗更多内存表空间所需的迭代次数。如果你有一个繁忙的 web 服务器,你应该增加这。自动将指定的值到下一个素数素数在分层列表 (见 mod_evasive.c 的素数使用的列表)。
DOSPageCount

这是每寻呼间隔的同一页 (或 URI) 的请求数的阈值。一旦已超出阈值间隔,客户端的 IP 地址将添加到阻止列表中。
DOSSiteCount

这是阈值的任何对象的相同的客户端对每个站点间隔相同的侦听器请求总数。一旦已超出阈值间隔,客户端的 IP 地址将添加到阻止列表中。
DOSPageInterval

间隔的页计数阈值;默认值为 1 秒为间隔。
DOSSiteInterval

间隔为站点计数阈值; 的默认值为 1 秒为间隔。
DOSBlockingPeriod

阻塞过程的总时间 (以秒为单位),如果他们被添加到阻止列表会阻止客户端。在此期间,来自客户端的所有后续请求将导致 403 (禁止) 和计时器重置 (例如另一个 10 秒)。由于计时器重置为每个后续请求,它不是必须有一段长时间阻塞的时间;在 DoS 攻击中,此计时器将保持得到重置。
DOSEmailNotify

如果设置了此值,将到指定的地址发送一封电子邮件时的 IP 地址成为被列入黑名单。使用 /tmp 锁定机制防止连续电子邮件被发送。

因此,请务必梅勒在 mod_evasive.c (或 mod_evasive20.c) 正确设置。默认值是”/ 箱/邮件-t %s”在哪里使用 %s 来表示目标电子邮件地址在配置中设置。如果你正在运行 linux 或一些其他的操作系统与不同类型的邮件,你需要更改此设置。

DOSSystemCommand

如果设置了此值,将执行指定的系统命令,每当 IP 地址成为列入黑名单。这被为了使系统调用到 ip 筛选器或其他工具。使用 /tmp 锁定机制防止连续系统中的调用。使用 %s 来表示被列入黑名单的 IP 的 IP 地址。
DOSLogDir

选择替代的 temp 目录

默认情况下”/ tmp”将用于锁定机制,打开一些安全问题,如果您的系统是对壳用户开放。万一你有权限壳用户,你会洼

Leave a Reply

Your email address will not be published. Required fields are marked *