关于Apache (httpd)服务器防DDOS模块mod_evasive的使用说明

时间:2022-02-14 22:21:59

 测试表明:当mod_evasive在正常封掉某个ip时候,apache日志仍然会有访问记录;  mod_evasive 的官方地址: http://www.zdziarski.com/ projectsmod_evasive wget http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gztar zxvf mod_evasive_1.10.1.tar.gzcd mod_evasive/usr/local/webserver/apache2/bin/apxs -i -a -c mod_evasive20.c 最后出现:Libraries have been installed in:   /usr/local/webserver/apache2//modulesIf you ever happen to want to link against installed librariesin a given directory, LIBDIR, you must either use libtool, andspecify the full pathname of the library, or use the `-LLIBDIR'flag during linking and do at least one of the following:   - add LIBDIR to the `LD_LIBRARY_PATH' environment variable     during execution   - add LIBDIR to the `LD_RUN_PATH' environment variable     during linking   - use the `-Wl,-rpath -Wl,LIBDIR' linker flag   - have your system administrator add LIBDIR to `/etc/ld.so.conf'See any operating system documentation about shared libraries formore information, such as the ld(1) and ld.so(8) manual pages.----------------------------------------------------------------------chmod 755 /usr/local/webserver/apache2//modules/mod_evasive20.so[activating module `evasive20' in /usr/local/webserver/apache2//conf/httpd.conf]  查看httpd.confvim /usr/local/webserver/apache2/conf/httpd.conf自动添加了LoadModule evasive20_module   modules/mod_evasive20.so然后我们再修改 Apache 的配置文件,配置文件名为httpd.conf;  修改httpd.confLoadModule rpaf_module modules/mod_rpaf-2.0.soLoadModule evasive20_module   modules/mod_evasive20.so
 ....<IfModule mod_rpaf-2.0.c>RPAFenable OnRPAFproxy_ips 127.0.0.1 192.168.12.201 192.168.12.202 192.168.12.203RPAFsethostname OnRPAFheader X-Forwarded-For</IfModule><IfModule mod_evasive20.c>    DOSHashTableSize    3097    DOSPageCount        10    DOSSiteCount        100    DOSPageInterval     2    DOSSiteInterval     2    DOSBlockingPeriod   360    DOSEmailNotify ***@qq.com    DOSLogDir "/usr/local/webserver/apache2/logs/mod_evasive"    DOSWhiteList 192.168.12.*</IfModule>    <IfModule mod_evasive20.c> DOSHashTableSize 3097#记录和存放黑名单表大小,如果服务器访问量很大,可以加大该值.DOSPageCount 5        #同一个页面在同一时间内可以被同一个用户访问的次数,超过该数字就会被列为攻击,同一时间的数值可以在DosPageInterval参数中设置.DOSSiteCount 100#同一个用户在同一个网站内可以同时打开的访问数,同一个时间的数值在DOSSiteInterval中设置。DOSPageInterval 2#设置DOSPageCount中时间长度标准,默认值为1。DOSSiteInterval 2设置DOSSiteCount中时间长度标准,默认值为1。DOSBlockingPeriod 3600#被封时间间隔秒,这中间会收到 403 (Forbidden) 的返回。DOSEmailNotify **.@qq.com#设置受到攻击时接收攻击信息提示的邮箱地址。有IP加入黑名单后通知管理员。DOSSystemCommand "sudo iptables -A INPUT -s %s -j DROP":#IP加入黑名单后执行的系统命令。 DOSLogDir "/usr/local/webserver/apache2/logs/mod_evasive"#手动创建目录mod_evasive,攻击日志存放目录,注意这个目录的权限,是运行apache程序的用户。锁定机制临时目录#白名单   DOSWhiteList 127.0.0.1  DOSWhiteList 192.168.12.*</IfModule>   如果您不知道把这些插入到哪,用下面的办法做也是可以的;在/etc目录中创建一个文件,比如mod_evasive.conf;
 #touch /etc/mod_evasive.conf然后把根据自己的Apache版本来加入相应的内容;接着我们再修改 httpd.conf ,在最后一行加入
 Include /etc/mod_evasive.conf修改完成后,我们要重启Apache服务器;service apachectl restart--------------------------------对mod_evasive测试验证 ;1 防DDOS的模块做好后,我们可以要验证,可以用Apache 自带的ab工具,系统默认安装在/usr/sbin目录中;比如;
 /usr/local/webserver/apache2/bin/ab -n 1000 -c 50 http://****注:上面的例子的意思是,如果您的服务器是google的WEB服务器,我们要发送数据请求包,总共1000个,每次并发50个;    2 另外一个测试工具就是mod_evasive的解压包的目录中test.pl, 修改test.pl IP地址 chmod 755 test.pl./test.plHTTP/1.1 200 OKHTTP/1.1 200 OKHTTP/1.1 200 OKHTTP/1.1 200 OKHTTP/1.1 200 OKHTTP/1.1 200 OKHTTP/1.1 200 OKHTTP/1.1 403 ForbiddenHTTP/1.1 403 ForbiddenHTTP/1.1 403 ForbiddenHTTP/1.1 403 ForbiddenHTTP/1.1 403 ForbiddenHTTP/1.1 403 ForbiddenHTTP/1.1 403 ForbiddenHTTP/1.1 403 Forbidden
    测试结果这个时候,你可以到你的/usr/local/webserver/apache2/logs/mod_evasive目录下面发现有日志文件类似文件:dos-192.168.12.201 ,192.168.12.201 表示记录了攻击的ip     邮件内容:To: ***@qq.comSubject: HTTP BLACKLIST 192.168.12.202mod_evasive HTTP Blacklisted 192.168.12.202   ================为apache安装rpaf模块,该模块用于apache做后端时获取访客真实的IP wget http://stderr.net/apache/rpaf/download/mod_rpaf-0.6.tar.gz 
 为apache安装rpaf模块,该模块用于apache做后端时获取访客真实的IP.1.使用apxs安装模块.这里要使用此前apache编译安装后的apxscd /tmptar -zxf mod_rpaf-0.6.tar.gzcd mod_rpaf-0.6/usr/local/webserver/apache2/bin/apxs -i -c -n mod_rpaf-2.0.so mod_rpaf-2.0.c
 2.编辑/usr/local/apache/conf/httpd.conf,添加模块参数,查找LoadModule php5_module modules/libphp5.so,在下方添加:LoadModule rpaf_module modules/mod_rpaf-2.0.so  <IfModule mod_rpaf-2.0.c>RPAFenable OnRPAFproxy_ips 127.0.0.1 192.168.12.201 192.168.12.202 192.168.12.203RPAFsethostname OnRPAFheader X-Forwarded-For</IfModule>
 此区块应该在<IfModule mod_evasive20.c>之上上面出现的请修改为你本机所监听web服务的ip.# 填写Nginx所在的内网IP。多个IP用空格空开.
 =====================================================================================
 mod_evasive  的前身就是mod_dosevasive

下载mod_evasive
http://www.nuclearelephant.com/projects/mod_evasive

# tar zxvf  mod_evasive_1.10.1.tar.gz
# cd  mod_evasive_1.10.1

# /usr/local/apache/bin/apxs -i -a -c mod_evasive20.c

打开 httpd.conf文件
查看是否有
LoadModule evasive20_module   modules/mod_evasive20.so
如没有则加上去

并加入
<IfModule mod_evasive20.c>
DOSHashTableSize    3097
DOSPageCount        2
DOSSiteCount        50
DOSPageInterval     1
DOSSiteInterval     1
DOSBlockingPeriod   10
</IfModule>



------------------------------------------------------------------------------------------------
ispcp 添加mod_evasive apache 防DDOS攻击

mod_evasive 是Apache(httpd)服务器的防DDOS的一个模块。对于WEB服务器来说,是目前比较好的一个防护DDOS攻击的扩展模块。虽然并不能完全防御 DDOS攻击,但在一定条件下,还是起到缓服Apache(httpd)服务器的压力。如果配合iptables、硬件防火墙等防火墙设备配合使用,可能 有更好的效果。可惜LinuxSir.Org 并没有硬件防火墙,所以是否这种组合效果有更好的效果,我没办法验证。

mod_evasive 的官方地址: http://www.zdziarski.com/projects/mod_evasive


2、 mod_evasive 的安装和配置;


2.1 mod_evasive 的下载地址;

mod_evasive_1.10.1.tar.gz


2.2 mod_evasive 的安装;

安装 mod_evasive 之前,你要用安装Apache(httpd)服务器软件包,还要安装httpd-devel或 apache-dev。在Slackware 12.0中,安装httpd软件即可;

对于Apache 1.x 请用下面的编译方法;

#/usr/sbin/apxs -iac mod_evasive.c

对于Apache 2.x 可以用下面的办法;

#tar zxvf mod_evasive_1.10.1.tar.gz 
#cd mod_evasive
#/usr/sbin/apxs -i -a -c mod_evasive20.c

注:apxs 用于编译模块工具;如果是用系统自带的软件包,一般位于/usr/sbin目录。如果您是自己编译安装Apache(httpd)的,你应该自己来指定路径;

我们然后修改/etc/ld.so.conf 文件,把编译出来的动态模块的所在位置指定在 ld.so.conf中;比如我用的是Aapche 2.x ,编译完成后,模块mod_evasive20.so 安装到了 /usr/lib/httpd/modules 目录中;那我们就要把 这个目录写入到ld.so.conf中。

#echo "/usr/lib/httpd/modules" >> /etc/ld.so.conf
#ldconfig

注: 具体要与你的系统环境为准,不要照搬照抄,如果你对Linux不太熟的话;


2.3 mod_evasive 的配置;

在编译安装完成后,会自动插入一行到Apache 配置文件中,对于Apache 2.x 版本中,应该在其配置文件中有类似下面的一行;

LoadModule evasive20_module   lib/httpd/modules/mod_evasive20.so

对于Apache 1.x来说,也应该差不多,大体只是路径不同罢了;

然后我们再修改 Apache 的配置文件,配置文件名为httpd.conf;

在Apache v1.x 版本中,要加入;

<IfModule mod_evasive.c>
DOSHashTableSize    3097
DOSPageCount        2
DOSSiteCount        50
DOSPageInterval     1
DOSSiteInterval     1
DOSBlockingPeriod   10
</IfModule>

在Apache v2.x加入;

<IfModule mod_evasive20.c>
DOSHashTableSize    3097
DOSPageCount        2
DOSSiteCount        50
DOSPageInterval     1
DOSSiteInterval     1
DOSBlockingPeriod   10
</IfModule>

如果您不知道把这些插入到哪,用下面的办法做也是可以的;

在/etc目录中创建一个文件,比如mod_evasive.conf;

#touch /etc/mod_evasive.conf

然后把根据自己的Apache版本来加入相应的内容;

接着我们再修改 httpd.conf ,在最后一行加入

Include /etc/mod_evasive.conf

修改完成后,我们要重启Apache服务器;

比如在Slackware 12.0中,Apache 2.x的重启,我们要用到

#/etc/rc.d/rc.httpd restart

在Redhat、Fededora、Debian、Ubuntu、CentOS中的Apache,可以用;

#/etc/init.d/httpd restart

#/etc/init.d/apache restart

大体上差不多是这样的……


2.4 对mod_evasive测试验证 ;

防DDOS的模块做好后,我们可以要验证,可以用Apache 自带的ab工具,系统默认安装在/usr/sbin目录中;比如;

#/usr/sbin/ab -n 1000 -c 50 http://www.google.com:80/

注:上面的例子的意思是,如果您的服务器是google的WEB服务器,我们要发送数据请求包,总共1000个,每次并发50个;

另外一个测试工具就是mod_evasive的解压包的目录中,有个test.pl ,你可以修改IP地址,然后用

#perl test.pl

是不是有效果,请根据 ab工具或 测试脚本出来的结果来查看;

因为我们编译mod_evasive时,用的是默认配置,所以日志被存放在/tmp目录中。如果有DDOS攻击,会在/tmp产生日志。日志的文件是以 dos-开头的;


3、mod_evasive 的高级配置;

如果想更改一些适合自己的参数,有些必要的参数,并不是通过配置文件修改就一下起作用的,我们要修改源码包中的 mod_evasive.c(Apache 1.x用之) 或 mod_evasive20.c (Apache 2.x用之);

#define DEFAULT_HASH_TBL_SIZE   3097ul  // Default hash table size
#define DEFAULT_PAGE_COUNT      2       // Default maximum page hit count per interval
#define DEFAULT_SITE_COUNT      50      // Default maximum site hit count per interval
#define DEFAULT_PAGE_INTERVAL   1       // Default 1 Second page interval
#define DEFAULT_SITE_INTERVAL   1       // Default 1 Second site interval
#define DEFAULT_BLOCKING_PERIOD 10      // Default for Detected IPs; blocked for 10 seconds
#define DEFAULT_LOG_DIR         "/tmp"  // Default temp directory

比如我们改改其中的数字,根据英文很容易理解。比如修改日志存放目录,就把/tmp改成别的目录。如果您不知道放在哪好,还是用默认的吧;

如果您在这里更改了参数,不要忘记修改Apache 配置文件中关于mod_evasive 的参数;

如果您想加入一些其它的参数,请查阅源码包中的README,里面有详细说明,大多来说没太大的必要……

这个文件相当重要,如果您想更改某些设置,就要修改这个文件
标签:

相关文章