mod_evasive 구성으로 RHEL6에서 Apache/2.2.15 사용:
DOSHashTableSize 3097
DOSPageCount 14
DOSPageInterval 2
DOSSiteCount 70
DOSSiteInterval 1
DOSBlockingPeriod 60
불행하게도 이 공격은 차단하지 못했습니다. 이는 1개의 IP에서만 발생했습니다.
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:53 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:53 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:53 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
Mod_evasive는 작동하지만 다른 경우에는 일부 IP를 차단합니다. HEAD 요청에는 작동하지 않습니까?
편집: 내 아파치가 프리포크 모드에서 실행 중입니다. 내가 읽은 바에 따르면 mod_evasive에 문제가 있습니다.
답변1
변수를 더 낮은 값으로 수정하세요. 14는 정말 높습니다.
DOSPageCount 3
공격이 동일한 곳에서 오기 때문에 IP 주소를 차단할 수 있습니다.
sudo iptables -t raw -I PREROUTING -s 207.x.x.x/32 -j DROP
또는 mod_security를 설치하고 설정한 후 bad_robots.data 파일에 "일부 가짜 사용자 에이전트"를 추가하면 401 금지 메시지가 표시됩니다.
메모
DDoS 공격은 대역폭과 리소스를 소비하도록 설계되었습니다. IP 주소를 금지하거나, mod_evasive로 잠그거나, 401로 요청을 거부할 수 있습니다. 어떤 방법으로도 DDoS를 막을 수는 없습니다. DDoS는 장치를 오프라인 상태로 유지하면서 계속해서 모든 대역폭을 소비합니다. 가장 좋은 방법은 ISP에 연락하여 문제가 되는 IP를 블랙홀링하도록 요청하거나 cloudflare와 같은 DDoS 완화 서비스에 문의하는 것입니다. 다른 어떤 조치도 DDoS를 막을 수 없습니다.
지속적인 DDoS를 받고 있다면 DDoS 완화 서비스를 이용하세요.언급된 이전 방법으로는 DDoS를 중지할 수 없습니다.