Apache防DDOS模块mod_evasive的安装配置和使用-gron-ChinaUnix博客

黑小子博客gron.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

gron

博客访问： 2160853
博文数量： 317
博客积分： 5670
博客等级：大校
技术积分： 3677
用户组：普通用户
注册时间： 2008-08-10 17:51

文章分类

全部博文（317）

mcat（2）
日志系统（2）

awstats（1）
工具（1）
代理服务（0）
SVN（11）
FTP（1）
python（2）
tomcat（0）
存储（6）
SEO技术（0）
proxy（0）
Cache（5）

redis（1）
DNS（2）
自动化管理（3）
redis（4）
素质培养（2）
压力测试（3）
监控报警（12）

zabbix（1）
报错问题（19）

系统（2）
性能测试与优化（27）
DB（42）

MongoDB（1）

MySql（40）
Web（48）

php（4）

IIS（1）

nginx（15）

apache（16）
技术常识（5）
shell（10）
Iptables（5）
集群HA（8）
Nagios（6）
Safety +&nb（12）
System（29）
Command（37）
Mail（5）

iredmail（0）

Postfix（2）

Qmail（3）
Cacti（3）
安装配置（5）
未分配的博文（0）

文章存档

2016年（2）

2015年（44）

2014年（68）

2013年（42）

2012年（23）

2011年（51）

2010年（67）

2009年（17）

2008年（3）

我的朋友

相关博文

Apache防DDOS模块mod_evasive的安装配置和使用

分类： LINUX

2015-04-08 12:17:19

Apache防DDOS模块mod_evasive的安装配置和使用
前些天,朋友的网站访问很慢,查服务器的连接数也不多,资源占用也少.怀疑有攻击,便想装上试试,试后一切正常,很爽
安装配置如下
wget blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz
tar zxvf mod_evasive_1.10.1.tar.gz
cd mod_evasive
/www/wdlinux/apache/bin/apxs -i -a -c mod_evasive20.c
vi /www/wdlinux/apache/conf/httpd.conf

    DOSHashTableSize    3097
    DOSPageCount        5
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   360

mod_evasive 介绍

mod_evasive 是Apache（httpd)服务器的防DDOS的一个模块。对于WEB服务器来说，是目前比较好的一个防护DDOS攻击的扩展模块。虽然并不能完全防御DDOS攻击，但在一定条件下，还是起到缓服Apache（httpd)服务器的压力。如配合iptables、硬件防火墙等防火墙设备配合使用，可能有更好的效果。
mod_evasive 的官方地址：

相关参数
DOSHashTableSize 3097：定义哈希表大小。
DOSSiteCount 50：允许客户机的最大并发连接。
DOSPageCount 2：允许客户机访问同一页的间隔。
DOSPageInterval 1：网页访问计数器间隔。
DOSSiteInterval 1：全站访问计数器间隔。
DOSSiteInterval 60：加入黑名单后拒绝访问时间。
DOSEmailNotify ：有IP加入黑名单后通知管理员。
DOSSystemCommand "sudo iptables -A INPUT -s %s -j DROP"：IP加入黑名单后执行的系统命令。
DOSLogDir "/tmp"：锁定机制临时目录。
DOSWhiteList 127.0.0.1：防范白名单，不阻止白名单IP。

欢迎转载,但请保留此信息
[我的Linux,让Linux更易用] ,,,,,集群负载均衡LVS,智能DNS/CDN,性能优化
本文连接:

一、mod_evasive 介绍
mod_evasive 是Apache（httpd)服务器的防的一个模块。对于来说，是目前比较好的一个防护攻击的扩展模块。虽然并不能完全防御攻击，但在一定条件下，还是起到缓服Apache（httpd)服务器的压力。如配合iptables、硬件防火墙等防火墙设备配合使用，可能有更好的效果。
mod_evasive 的官方地址：

二、mod_evasive 工作原理
Apache模块mod_evasive利用Hash表储存相应的HTTP请求，利用设定规则判断是否拒绝对方的请求。

三、mod_evasive 安装

wget blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz
tar zxvf mod_evasive_1.10.1.tar.gz
cd mod_evasive/
apxs -i -a -c mod_evasive20.c
#编译、安装、并加载模块
#注：apxs 用于编译模块工具；如果是用系统自带的软件包，一般位于/usr/sbin目录。如果您是自己编译安装Apache(httpd)的，你应该自己来指定路径；

在编译安装完成后，会自动插入一行到Apache 配置文件中，对于Apache 2.x 版本中，应该在其配置文件中有类似下面的一行；

LoadModule evasive20_module lib/httpd/modules/mod_evasive20.so

四、配置mod_evasive

[root@localhost ~]# vi /etc/httpd/conf/httpd.conf
#加入以下配置

    DOSHashTableSize    3097 #表大小
    DOSPageCount        2 #限制单位时间内同一IP请求同一网页次数
    DOSSiteCount        10 #限制单位时间内同一IP请求网站次数
    DOSPageInterval     1 #网页存取间隔
    DOSSiteInterval     1 #网站存取间隔
    DOSBlockingPeriod   10 #限制访问时间
    DOSEmailNotify     #疑似攻击时邮件通知
    DOSSystemCommand "su - onovps -c iptables -I INPUT -s %s --dport 80 -j DROP"
    #疑似攻击时用防火墙限制IP访问80端口
    DOSLogDir "/var/log/    #日志目录
    DOSWhiteList 127.0.0.1 #添加白名单

如果您不知道把这些插入到哪，用下面的办法做也是可以的；
在/etc目录中创建一个文件，比如mod_evasive.conf；

[root@localhost ~]#touch /etc/mod_evasive.conf

然后把根据自己的Apache版本来加入相应的内容；
接着我们再修改 httpd.conf ，在最后一行加入

Include /etc/mod_evasive.conf

修改完成后，我们要重启Apache服务器使配置生效：

/etc/init.d/httpd restart

五、测试mod_evasive
防的模块做好后，我们可以要验证，可以用Apache 自带的ab工具，系统默认安装在/usr/sbin目录中；比如；

[root@localhost ~]/usr/sbin/ab -n 1000 -c 50

注：上面的例子的意思是，如果您的服务器是百度的，我们要发送数据请求包，总共1000个，每次并发50个；
另外一个测试工具就是mod_evasive的解压包的目录中，有个test.pl ，你可以修改IP地址，然后用

[root@localhost ~]perl test.pl
HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden

是不是有效果，请根据 ab工具或测试脚本出来的结果来查看；
注：因为我们编译mod_evasive时，用的是默认配置，所以日志被存放在/tmp目录中。如果有攻击，会在/tmp产生日志。日志的文件是以 dos-开头的；
六、配置参数详解
DOSHashTableSize 3097：定义哈希表大小。
DOSSiteCount 50：允许客户机的最大并发连接。
DOSPageCount 2：允许客户机访问同一页的间隔。
DOSPageInterval 1：网页访问计数器间隔。
DOSSiteInterval 1：全站访问计数器间隔。
DOSSiteInterval 60：加入黑名单后拒绝访问时间。
DOSEmailNotify xxxx@gmail.com：有IP加入黑名单后通知管理员。
DOSSystemCommand "sudo iptables -A INPUT -s %s -j DROP"：IP加入黑名单后执行的系统命令。
DOSLogDir "/tmp"：锁定机制临时目录，日志目录。

DOSWhiteList 127.0.0.1：防范白名单，不阻止白名单IP。
七、mod_evasive 的高级配置
如果想更改一些适合自己的参数，有些必要的参数，并不是通过配置文件修改就一下起作用的，我们要修改源码包中的 mod_evasive.c（Apache 1.x用之）或 mod_evasive20.c （Apache 2.x用之）

#define DEFAULT_HASH_TBL_SIZE   3097ul // Default hash table size
#define DEFAULT_PAGE_COUNT      2       // Default maximum page hit count per interval
#define DEFAULT_SITE_COUNT      50      // Default maximum site hit count per interval
#define DEFAULT_PAGE_INTERVAL   1       // Default 1 Second page interval
#define DEFAULT_SITE_INTERVAL   1       // Default 1 Second site interval
#define DEFAULT_BLOCKING_PERIOD 10      // Default for Detected IPs; blocked for 10 seconds
#define DEFAULT_LOG_DIR         "/tmp" // Default temp directory

比如我们改改其中的数字，根据英文很容易理解。比如修改日志存放目录，就把/tmp改成别的目录。如果您不知道放在哪好，还是用默认的吧；
如果您在这里更改了参数，不要忘记修改Apache 配置文件中关于mod_evasive 的参数；
如果您想加入一些其它的参数，请查阅源码包中的README，里面有详细说明，大多来说没太大的必要……
这个文件相当重要，如果您想更改某些设置，就要修改这个文件……

八、总结
mod_evasive 还是有点用的，对于apache服务器来说，是目前比较好的一个防护攻击的扩展模块。虽然并不能完全防御攻击，但在一定条件下，还是起到缓服Apache（httpd)服务器的压力。如果配合iptables、硬件防火墙等防火墙设备配合使用，可能有更好的效果。安装也不费力气。如果你需要的时候，会想到这个模块的。

阅读(1235) | 评论(0) | 转发(0) |

上一篇：CentOS系统下的DDOS攻击防范

下一篇：处理使用不安全的HTTP TRACE方法 && 缺少X-Frame-Options头部

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6