MOD_EVASIVE - Block DDOS attacks

Publicado por Carlos Eugenio em 16/03/2011

[ Hits: 13.208 ]

 


MOD_EVASIVE - Block DDOS attacks



Se você tem algo na internet (site ou blog) está exposto a vulnerabilidades que podem ser utilizadas por pessoas sem muita consciência, que transformam sua máquina em um Zumbi a serviço do mal sem você saber ou fazem ataques massiços (DDOS) utilizando as vulnerabilidades de sua máquina.

O Apache tem algumas ferramentas para auxílio a proteção da sua máquina e uma delas é o mod_evasive, que protegerá pelo menos o DDOS.

Mod_evasive é um módulo de segurança do Apache que proporciona bloqueio de acessos em massa ou ataques de força bruta ao site. A intenção dele é bloquear e separar os acessos em massa a área, através de uma interface que guarda os acessos gerando uma blacklist dos acessos impedindo o acesso dos mesmos por um tempo configurável.

1. Se o IP do cliente existe na lista temporária de IPS.

2. Acessos simultâneos a páginas, configurando o tempo de acesso as páginas o default é de 1 segundo.

3. Número de requisições ao site como um todo.

A ideia é retornar o status code 403 - forbidden para os acessos após terem sido bloqueados. Após 10 segundos, período padrão de bloqueio, o cliente tem acesso proibido ao site.

A ativação do recurso é bem fácil. O mod_evasive funciona nas duas versões de Apache: 1.3 e 2.0.

Veja abaixo os passos de instalação:

# tar -xzf mod_evasive-1.4.3.tar.gz
# cd mod_evasive-1.4.3
# ./apxs -iac mod_evasive20.c
# /etc/init.d/httpd restart


Depois de instalado temos que fazer as seguintes configurações no httpd.conf:

DOSHashTableSize        3097
DOSPageCount            2
DOSSiteCount         50
DOSPageInterval         1
DOSSiteInterval         1
DOSBlockingPeriod        10
DOSHashTableSize #Esta diretiva define o número de nodes por processo filho na tabela de hash

Aumentar o número além do padrão pode melhorar o desempenho, mas consome mais memória para gravar dados, o padrão é 3097.

Espero que tenha ajudado.

Outras dicas deste autor

Habilitando SSLv3 em servidores Linux (Red Hat)

Leitura recomendada

Osmedeus - Reconhecimento e Scanner de Vulnerabilidades

Descompactando arquivos 7z

Como atualizar kernel para 2.6.25

Instalação do VirtualBox completo, inclusive com acesso a pendrive

Aumentando área de SWAP sem boot ou reinstalação em LVM

  

Comentários
[1] Comentário enviado por roberto_espreto em 16/03/2011 - 14:26h

Boa dica, mais deve ser bem estudado o ambiente para ser aplicado este mod, pois em alguns casos, mod_evasive pode não ser suficiente, porque mesmo que ele ainda retorna status 403, você ainda está lidando com um hit e uma conexão de soquete TCP aberto em seu servidor. Outras 2 opções legais para adicionar ao httpd.conf são: DOSLogDir e DOSEmailNotify, acho que fica melhor para realizar auditorias/monitorar.
Mod_evasive é uma ferramenta muito boa para ter por perto. :)

Att,

[2] Comentário enviado por mageras2 em 29/05/2013 - 21:29h

Opa, sou iniciante em linux e tenho um site em apache, ainda não sofri nenhum attack do tipo mais "é melhor prevenir do que remediar".

Muito boa a explicação ficou bem claro na teoria, mais a parte da instalação não teria um comando para fazer download?..já começa na parte da descompactação..desculpem minha ignorância!

[3] Comentário enviado por mauricioss777 em 19/08/2015 - 14:50h

Boa tarde pessoal,

Tenho uma dúvida. Como o mod_evasive se comporta quando exitem muitas conexões a um determinado site provenientes de um provedor que utiliza NAT?

Abraço!



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts