使用mod_dosevasive對抗DDos攻擊

liang3391

mod_dosevasive通過對來訪IP地址和訪問URI建立內(nèi)部動態(tài)哈希表來檢測是否有攻擊，如果有如下的行為將拒絕該IP的訪問：
1. 每秒對同一頁面的請求數(shù)超過平時（原文：Requesting the same page more than a few times per second）。
2. 每秒同一個子進(jìn)程有超過50次的并發(fā)請求。
3. 臨時被拒絕（在blacklist中）的時候還不斷進(jìn)行請求。
　　mod_dosevasive可以非常方便的和防火墻、路由器等進(jìn)行整合，進(jìn)一步提高抗拒絕服務(wù)的能力。和別的防攻擊工具一樣，mod_dosevasive同樣收到帶寬、系統(tǒng)處理能力等因素的影響，所以要想應(yīng)對大規(guī)模的攻擊，最好的方式就是把mod_dosevasive和您的防火墻和路由器進(jìn)行整合，而不是簡單的安裝成為獨立的Apache模塊。
mod_dosevasive在apache2.2.2上的安裝方法：
一、使用源碼安裝：
1、下載
#cd /tmp （任何別的目錄都行）
#wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz
2、解壓縮
#tar -zxvf mod_dosevasive_1.10.1.tar.gz
#cd mod_dosevasive
3、以動態(tài)模塊方式編譯
# apxs -i -a -c mod_dosevasive20.c
4. 修改/etc/httpd/conf/httpd.conf文件，加入對模塊的支持:
LoadModule dosevasive20_module libexec/apache22/mod_dosevasive20.so
二、使用FreeBSD的port進(jìn)行安裝（強(qiáng)烈推薦此方式）
#cd /usr/ports/www/mod_dosevasive20
#make install clean
　　至此，完成了mod_dosevasive的安裝，重啟apache服務(wù)后，它就開始工作了，這個時候您如果不作任何別的設(shè)置，它也可以使用默認(rèn)配置為您提供良好的防攻擊能力，當(dāng)然，您也可以自己進(jìn)行一些參數(shù)的定制配置，可選的參數(shù)如下：
在您的httpd.conf文件中，加入類似下面的部分
Apache 1.3.x
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
Apache 2.x
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
參數(shù)簡單說明：
DOSHashTableSize 3097 記錄和存放黑名單的哈西表大小，如果服務(wù)器訪問量很大，可以加大該值
DOSPageCount 5 同一個頁面在同一時間內(nèi)可以被統(tǒng)一個用戶訪問的次數(shù)，超過該數(shù)字就會被列為攻擊，同一時間的數(shù)值可以在DosPageInterval參數(shù)中設(shè)置。
DOSSiteCount 50 同一個用戶在同一個網(wǎng)站內(nèi)可以同時打開的訪問數(shù)，同一個時間的數(shù)值在DOSSiteInterval中設(shè)置。
DOSPageInterval 2 設(shè)置DOSPageCount中時間長度標(biāo)準(zhǔn)，默認(rèn)值為1。
DOSSiteInterval 2 設(shè)置DOSSiteCount中時間長度標(biāo)準(zhǔn)。
DOSBlockingPeriod 10 被封時間間隔秒，這中間會收到 403 (Forbidden) 的返回。
其他可選參數(shù)：
DOSEmailNotify lee@toplee.com 設(shè)置受到攻擊時接收攻擊信息提示的郵箱地址。
DOSSystemCommand “su - someuser -c ‘/sbin/… %s …’” 受到攻擊時Apache運行用戶執(zhí)行的系統(tǒng)命令
DOSLogDir “/var/lock/mod_dosevasive” 攻擊日志存放目錄，BSD上默認(rèn)是 /tmp
下面是我的服務(wù)器上看到的一些日志情況：
#cd /tmp
#ll |wc -l
    2303
#ls
......
dos-218.64.69.71        dos-219.80.33.54        dos-222.214.156.211
dos-218.64.79.59        dos-219.82.143.127      dos-222.214.2.148
dos-218.64.81.162       dos-219.82.46.245       dos-222.214.206.162  
dos-218.65.102.178      dos-220.113.43.61       dos-222.214.207.191
......
#more dos-218.64.69.71
30611
可以看到，這個ip地址有30611次的訪問攻擊被記錄！��！
參考資料：
原官方主頁：http://www.nuclearelephant.com/projects/dosevasive/
新主頁地址：
http://www.zdziarski.com/projects/mod_evasive/


本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u2/69550/showart_2065654.html