MOD_EVASIVE - Block DDOS attacks

Publicado por Carlos Eugenio em 16/03/2011

[ Hits: 13.043 ]

0 0

Denuncie Favoritos Indicar Impressora

MOD_EVASIVE - Block DDOS attacks

Se você tem algo na internet (site ou blog) está exposto a vulnerabilidades que podem ser utilizadas por pessoas sem muita consciência, que transformam sua máquina em um Zumbi a serviço do mal sem você saber ou fazem ataques massiços (DDOS) utilizando as vulnerabilidades de sua máquina.

O Apache tem algumas ferramentas para auxílio a proteção da sua máquina e uma delas é o mod_evasive, que protegerá pelo menos o DDOS.

Mod_evasive é um módulo de segurança do Apache que proporciona bloqueio de acessos em massa ou ataques de força bruta ao site. A intenção dele é bloquear e separar os acessos em massa a área, através de uma interface que guarda os acessos gerando uma blacklist dos acessos impedindo o acesso dos mesmos por um tempo configurável.

1. Se o IP do cliente existe na lista temporária de IPS.

2. Acessos simultâneos a páginas, configurando o tempo de acesso as páginas o default é de 1 segundo.

3. Número de requisições ao site como um todo.

A ideia é retornar o status code 403 - forbidden para os acessos após terem sido bloqueados. Após 10 segundos, período padrão de bloqueio, o cliente tem acesso proibido ao site.

A ativação do recurso é bem fácil. O mod_evasive funciona nas duas versões de Apache: 1.3 e 2.0.

Veja abaixo os passos de instalação:

# tar -xzf mod_evasive-1.4.3.tar.gz
# cd mod_evasive-1.4.3
# ./apxs -iac mod_evasive20.c
# /etc/init.d/httpd restart

Depois de instalado temos que fazer as seguintes configurações no httpd.conf:

DOSHashTableSize        3097
DOSPageCount            2
DOSSiteCount         50
DOSPageInterval         1
DOSSiteInterval         1
DOSBlockingPeriod        10
DOSHashTableSize #Esta diretiva define o número de nodes por processo filho na tabela de hash

Aumentar o número além do padrão pode melhorar o desempenho, mas consome mais memória para gravar dados, o padrão é 3097.

Espero que tenha ajudado.

Outras dicas deste autor

Habilitando SSLv3 em servidores Linux (Red Hat)

Leitura recomendada

Compartilhando sua conexão 3G entre dois computadores

Criando uma biblioteca multimídia no Ubuntu

Utilizando chaves públicas no SSH e SCP

Configuração de rede sem fio no Linux Educacional 3.0

Compilando programas com SlackBuilds

Comentários

[1] Comentário enviado por roberto_espreto em 16/03/2011 - 14:26h

Boa dica, mais deve ser bem estudado o ambiente para ser aplicado este mod, pois em alguns casos, mod_evasive pode não ser suficiente, porque mesmo que ele ainda retorna status 403, você ainda está lidando com um hit e uma conexão de soquete TCP aberto em seu servidor. Outras 2 opções legais para adicionar ao httpd.conf são: DOSLogDir e DOSEmailNotify, acho que fica melhor para realizar auditorias/monitorar.
Mod_evasive é uma ferramenta muito boa para ter por perto. :)

Att,

0 0

[2] Comentário enviado por mageras2 em 29/05/2013 - 21:29h

Opa, sou iniciante em linux e tenho um site em apache, ainda não sofri nenhum attack do tipo mais "é melhor prevenir do que remediar".

Muito boa a explicação ficou bem claro na teoria, mais a parte da instalação não teria um comando para fazer download?..já começa na parte da descompactação..desculpem minha ignorância!

0 0

[3] Comentário enviado por mauricioss777 em 19/08/2015 - 14:50h

Boa tarde pessoal,

Tenho uma dúvida. Como o mod_evasive se comporta quando exitem muitas conexões a um determinado site provenientes de um provedor que utiliza NAT?

Abraço!

0 0