Apache 利用模块mod_evasive 防服务器ddos

                                  作者：pkfeiyang        博客主页：  pkfeiyang.cublog.cn

                                       

对于ddos我相信很多做网站运维人员都谈它色变，因为它给网站带来的灾难是很大的，直接影响你的服务水平，因此为了更好的找出应对措施，我们先来了解下ddos。

DDoS攻击概念

　　DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。

　　DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采 用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能 力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击 包，这样一来攻击就不会产生什么效果。

　　这时候分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理 就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS 就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

　　高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代 时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别 的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

 

 被DDoS攻击时的现象

　　被攻击主机上有大量等待的TCP连接

　　网络中充斥着大量的无用的数据包，源地址为假

　　制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯

　　利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求

　　严重时会造成系统死机

 

那知道了以上的信息我们开始有针对性的进行防范。

下面是查找服务器的ip攻击源，

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort –n

 

 

 

下载：

1、evasive 的下载地址；wget http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz

2. mod_evasive 的安装；

安装 mod_evasive 之前，你要用安装Apache(httpd)服务器软件包，还要安装httpd-devel或 apache-dev。在Slackware 12.0中，安装httpd软件即可；

对于Apache 1.x 请用下面的编译方法；

#/usr/sbin/apxs -iac mod_evasive.c

对于Apache 2.x 可以用下面的办法；

#tar zxvf mod_evasive_1.10.1.tar.gz
#cd mod_evasive
#/usr/sbin/apxs -i -a -c mod_evasive20.c

注：apxs 用于编译模块工具；如果是用系统自带的软件包，一般位于/usr/sbin目录。如果您是自己编译安装Apache(httpd)的，你应该自己来指定路径；

我们然后修改/etc/ld.so.conf 文件，把编译出来的动态模块的所在位置指定在 ld.so.conf中；比如我用的是Aapche 2.x ，编译完成后，模块mod_evasive20.so 安装到了 /usr/lib/httpd/modules 目录中；那我们就要把 这个目录写入到ld.so.conf中。

#echo "/usr/lib/httpd/modules" >> /etc/ld.so.conf
#ldconfig

注： 具体要与你的系统环境为准，不要照搬照抄，如果你对Linux不太熟的话；

3 mod_evasive 的配置；

在编译安装完成后，会自动插入一行到Apache 配置文件中，对于Apache 2.x 版本中，应该在其配置文件中有类似下面的一行；

LoadModule evasive20_module   lib/httpd/modules/mod_evasive20.so

对于Apache 1.x来说，也应该差不多，大体只是路径不同罢了；

然后我们再修改 Apache 的配置文件，配置文件名为httpd.conf；

在Apache v1.x 版本中，要加入；

    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10

在Apache v2.x加入；

    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10

然后重启apache

 

利用ab进行测试

因为我们编译mod_evasive时，用的是默认配置，所以日志被存放在/tmp目录中。如果有DDOS攻击，会在/tmp产生日志。日志的文件是以 dos-开头的；

4、mod_evasive 的高级配置；

如果想更改一些适合自己的参数，有些必要的参数，并不是通过配置文件修改就一下起作用的，我们要修改源码包中的 mod_evasive.c（Apache 1.x用之） 或 mod_evasive20.c （Apache 2.x用之）；

#define DEFAULT_HASH_TBL_SIZE   3097ul  // Default hash table size
#define DEFAULT_PAGE_COUNT      2       // Default maximum page hit count per interval
#define DEFAULT_SITE_COUNT      50      // Default maximum site hit count per interval
#define DEFAULT_PAGE_INTERVAL   1       // Default 1 Second page interval
#define DEFAULT_SITE_INTERVAL   1       // Default 1 Second site interval
#define DEFAULT_BLOCKING_PERIOD 10      // Default for Detected IPs; blocked for 10 seconds
#define DEFAULT_LOG_DIR         "/tmp"  // Default temp directory

比如我们改改其中的数字，根据英文很容易理解。比如修改日志存放目录，就把/tmp改成别的目录。如果您不知道放在哪好，还是用默认的吧；

如果您在这里更改了参数，不要忘记修改Apache 配置文件中关于mod_evasive 的参数；

如果您想加入一些其它的参数，请查阅源码包中的README，里面有详细说明，大多来说没太大的必要……

这个文件相当重要，如果您想更改某些设置，就要修改这个文件……

 

那么模拟完后，查看tmp目录

dbasky  dos-xxxx.74  dos-2xxxx.139  pom-runme-index  uscreens

 

  dos那个就是ddos的攻击者。

 

相关参数：

DOSHashTableSize 3097：定义哈希表大小。  
DOSSiteCount 50：允许客户机的最大并发连接。  
DOSPageCount 2：允许客户机访问同一页的间隔。  
DOSPageInterval 1：网页访问计数器间隔。  
DOSSiteInterval 1：全站访问计数器间隔。  
DOSSiteInterval 60：加入黑名单后拒绝访问时间。  
DOSEmailNotify ：有IP加入黑名单后通知管理员。  
DOSSystemCommand "sudo iptables -A INPUT -s %s -j DROP"：IP加入黑名单后执行的系统命令。  
DOSLogDir "/tmp"：锁定机制临时目录。  
DOSWhiteList 127.0.0.1：防范白名单，不阻止白名单IP。