ex1-lab

Linux, CentOS, Mac OS X, Windows, 仮想化, Apache等のLinux中心に気になることをメモがわりに・・・

DoS攻撃対策 Apacheモジュール mod_dosdetector 導入

      2017/01/04 この記事は約2分で読むことができます。

仕事でお客様からの特定のIPアドレス帯から大量アクセスが有りサーバーが不安定になるて相談があり、
Apacheモジュールの【mod_dosdetector】を導入したのでその際の作業メモです

mod_dosdetectorは、『サーバ/インフラを支える技術』で知ったDoS攻撃判定モジュール mod_dosdetector の使い方が載っています
自分はこちらの本でそのモジュールを知りました


24時間365日サーバ/インフラを支える技術 [ 伊藤直也 ]

mod_dosdetector インストール

パッケージをダウンロードして、make, make install の一般的な流れです

※ apachectl のパスを変更してインストールしている場合はMakefileを編集してパスを修正します

mod_dosdetector 設定

設定は以下のようにしました
編集箇所はhttpd.conf の最終行に追記

  • 10秒間(DoSPeriod)で20アクセス(DoSThreshold)で環境変数SuspectDoSに1をセット(Dos攻撃の疑いあり)
  • 10秒間で50アクセス(DoSThreshold)で環境変数SuspectHardDoSに1をセット
  • 10秒間(DoSBanPeriod)で対象アドレスを解除
  • クライアントの追跡記録の最大保存数(DoSTableSize)は、100
  • *.js|png|jpe?g|gif|css|ico のファイルは除外対象

バーチャルホストごとにDoS攻撃対策ができますが、今回はバーチャルホストの設定をしていない
サーバーにインストールしたので、バーチャルホストごとに設定はしていません
編集箇所はhttpd.conf の最終行に追記

  • 環境変数SuspectHardDoSが付与されたIPは、503(ErrorDocument)のステータスを返す
  • REMOTE_ADDR,REQUEST_URI で指定したIP,URIは除外
  • ログは、logs/surugaya/dos_suspect_log に保存

mod_dosdetector 設定

最後にapache を再起動して有効にします

あとは設定したURLをブラウザで開いて「F5」連打して、503のステータスが変えればOKです



 - Linux , ,