WHEREIS


1. mod_evasive이란 무엇인가?

이것은 HTTP Dos 또는 DDos 스택 또는 저돌적인 공격으로부터 아파치를 보호하는데 있다. 또한 ipchains, 방화벽, 라우터등으로 쉽게 구성될 수 있도록 디자인 되었다.

탐지는 주소, URI IP 내부 동적 해쉬테이블을 생성함으로 수행되고, 각 아이피별로 거부된다.

- 초당 몇번 이상의 같은 페이지를 요청하는 경우

- 초당 같은 자식노드를 동시에 50번 이상 생성하는 경우

- 일시적으로 블러킹되는 동안 어떠한 요청을 생성하는 경우

 신나2

2. 설치방법

 

wget http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz

tar -xzvf mod_evasive_1.10.1.tar.gz

apache설치경로/bin/apxs -iac mod_evasive20.c       ---- 까지하면 conf 파일에 자동으로 모듈 추가 됨.

 

3. 설정방법

<IfModule mod_evasive.c>

DOSHashTableSize 3097

DOSPageCount 20

DOSSiteCount 100

DOSPageInterval 1

DOSSiteInterval 1

DOSBlockingPeriod 10

DOSEmailNotify admin@qaris.net

DOSLogDir /var/lock/mod_evasive 

DOSWhitelist 127.0.0.1

</IfModule>

 

설정에 대한 설명은 다음과 같다.

1. DOSPageCount: 몇개의 연속 pagehit 에 대해 차단 조치를 할 것인가에 대한 설정.

2. DOSSiteCount: 몇개의 연속 site 접속에 대해 차단 조치를 할 것인가에 대한 설정.

3. DOSPageInterval: pagehit 에 대한 “허용될 연속 접속 사이의 시간 간격”을 () 단위로 입력.

4. DOSSiteInterval: site 접속에 대한 “허용될 연속 접속 사이의 시간 간격”을 () 단위로 입력.

5. DOSBlockingPeriod: 차단된 호스트가 풀릴 때 까지의 시간을 () 단위로 입력.

6. DOSEmailNotify: 공격에 대한 정보를 보낼 메일 주소.

7. DOSLogDir: 로그파일 경로

8. DOSWhitelist: 차단에서 제외될 호스트

필자의 설정을 설명하자면 다음과 같다.

 

** 동일한 호스트로부터 “1초” 사이에 “20번” 이상의 pagehit 가 이루어질 경우 호스트 차단.

** 동일한 호스트로부터 “1초” 사이에 “100번” 이상의 site 접속 이 이루어질 경우 호스트 차단.

** 차단된 호스트는 10초 동안 차단한다.

** DoS 공격이 이루질 때 admin@qaris.net 으로 메일을 보낸다.

** 127.0.0.1 은 차단 조치를 하지 않는다

이 글을 공유합시다

facebook twitter kakaoTalk kakaostory naver band
loading