MOD_EVASIVE - Block DDOS attacks
Dica publicada em Linux / Introdução
MOD_EVASIVE - Block DDOS attacks
Se você tem algo na internet (site ou blog) está exposto a vulnerabilidades que podem ser utilizadas por
pessoas sem muita consciência, que transformam sua máquina em um Zumbi a serviço do mal sem você
saber ou fazem ataques massiços (DDOS) utilizando as vulnerabilidades de sua máquina.
O Apache tem algumas ferramentas para auxílio a proteção da sua máquina e uma delas é o mod_evasive, que protegerá pelo menos o DDOS.
Mod_evasive é um módulo de segurança do Apache que proporciona bloqueio de acessos em massa ou ataques de força bruta ao site. A intenção dele é bloquear e separar os acessos em massa a área, através de uma interface que guarda os acessos gerando uma blacklist dos acessos impedindo o acesso dos mesmos por um tempo configurável.
1. Se o IP do cliente existe na lista temporária de IPS.
2. Acessos simultâneos a páginas, configurando o tempo de acesso as páginas o default é de 1 segundo.
3. Número de requisições ao site como um todo.
A ideia é retornar o status code 403 - forbidden para os acessos após terem sido bloqueados. Após 10 segundos, período padrão de bloqueio, o cliente tem acesso proibido ao site.
A ativação do recurso é bem fácil. O mod_evasive funciona nas duas versões de Apache: 1.3 e 2.0.
Veja abaixo os passos de instalação:
# tar -xzf mod_evasive-1.4.3.tar.gz
# cd mod_evasive-1.4.3
# ./apxs -iac mod_evasive20.c
# /etc/init.d/httpd restart
Depois de instalado temos que fazer as seguintes configurações no httpd.conf:
Aumentar o número além do padrão pode melhorar o desempenho, mas consome mais memória para gravar dados, o padrão é 3097.
Espero que tenha ajudado.
O Apache tem algumas ferramentas para auxílio a proteção da sua máquina e uma delas é o mod_evasive, que protegerá pelo menos o DDOS.
Mod_evasive é um módulo de segurança do Apache que proporciona bloqueio de acessos em massa ou ataques de força bruta ao site. A intenção dele é bloquear e separar os acessos em massa a área, através de uma interface que guarda os acessos gerando uma blacklist dos acessos impedindo o acesso dos mesmos por um tempo configurável.
1. Se o IP do cliente existe na lista temporária de IPS.
2. Acessos simultâneos a páginas, configurando o tempo de acesso as páginas o default é de 1 segundo.
3. Número de requisições ao site como um todo.
A ideia é retornar o status code 403 - forbidden para os acessos após terem sido bloqueados. Após 10 segundos, período padrão de bloqueio, o cliente tem acesso proibido ao site.
A ativação do recurso é bem fácil. O mod_evasive funciona nas duas versões de Apache: 1.3 e 2.0.
Veja abaixo os passos de instalação:
# tar -xzf mod_evasive-1.4.3.tar.gz
# cd mod_evasive-1.4.3
# ./apxs -iac mod_evasive20.c
# /etc/init.d/httpd restart
Depois de instalado temos que fazer as seguintes configurações no httpd.conf:
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSHashTableSize #Esta diretiva define o número de nodes por processo filho na tabela de hash
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSHashTableSize #Esta diretiva define o número de nodes por processo filho na tabela de hash
Aumentar o número além do padrão pode melhorar o desempenho, mas consome mais memória para gravar dados, o padrão é 3097.
Espero que tenha ajudado.
Mod_evasive é uma ferramenta muito boa para ter por perto. :)
Att,