日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
用Apache服務器模塊保護您的網(wǎng)站免受應用層DOS攻擊

有多種可以導致網(wǎng)站下線的攻擊方法,比較復雜的方法要涉及數(shù)據(jù)庫和編程方面的技術(shù)知識。一個更簡單的方法被稱為“拒絕服務Denial Of Service”(DOS)攻擊。這個攻擊方法的名字來源于它的意圖:使普通客戶或網(wǎng)站訪問者的正常服務請求被拒絕。

成都創(chuàng)新互聯(lián)公司專注于企業(yè)網(wǎng)絡營銷推廣、網(wǎng)站重做改版、前進網(wǎng)站定制設計、自適應品牌網(wǎng)站建設、H5建站、電子商務商城網(wǎng)站建設、集團公司官網(wǎng)建設、外貿(mào)營銷網(wǎng)站建設、高端網(wǎng)站制作、響應式網(wǎng)頁設計等建站業(yè)務,價格優(yōu)惠性價比高,為前進等各大城市提供網(wǎng)站開發(fā)制作服務。

一般來說,有兩種形式的 DOS 攻擊:

  1. OSI 模型的三、四層,即網(wǎng)絡層攻擊
  2. OSI 模型的七層,即應用層攻擊

第一種類型的 DOS 攻擊——網(wǎng)絡層,發(fā)生于當大量的垃圾流量流向網(wǎng)頁服務器時。當垃圾流量超過網(wǎng)絡的處理能力時,網(wǎng)站就會宕機。

第二種類型的 DOS 攻擊是在應用層,是利用合法的服務請求,而不是垃圾流量。當頁面請求數(shù)量超過網(wǎng)頁服務器能承受的容量時,即使是合法訪問者也將無法使用該網(wǎng)站。

本文將著眼于緩解應用層攻擊,因為減輕網(wǎng)絡層攻擊需要大量的可用帶寬和上游提供商的合作,這通常不是通過配置網(wǎng)絡服務器就可以做到的。

通過配置普通的網(wǎng)頁服務器,可以保護網(wǎng)頁免受應用層攻擊,至少是適度的防護。防止這種形式的攻擊是非常重要的,因為 Cloudflare 最近 報告稱 網(wǎng)絡層攻擊的數(shù)量正在減少,而應用層攻擊的數(shù)量則在增加。

本文將介紹如何使用 zdziarski 開發(fā)的 Apache2 的模塊 mod_evasive。

另外,mod_evasive 會阻止攻擊者通過嘗試數(shù)百個用戶名和密碼的組合來進行猜測(即暴力攻擊)的企圖。

mod_evasive 會記錄來自每個 IP 地址的請求的數(shù)量。當這個數(shù)字超過相應 IP 地址的幾個閾值之一時,會出現(xiàn)一個錯誤頁面。錯誤頁面所需的資源要比一個能夠響應合法訪問的在線網(wǎng)站少得多。

在 Ubuntu 16.04 上安裝 mod_evasive

Ubuntu 16.04 默認的軟件庫中包含了 mod_evasive,名稱為 “l(fā)ibapache2-mod-evasive”。您可以使用 apt-get 來完成安裝:

apt-get update
apt-get upgrade
apt-get install libapache2-mod-evasive

現(xiàn)在我們需要配置 mod_evasive。

它的配置文件位于 /etc/apache2/mods-available/evasive.conf。默認情況下,所有模塊的設置在安裝后都會被注釋掉。因此,在修改配置文件之前,模塊不會干擾到網(wǎng)站流量。


   #DOSHashTableSize    3097
   #DOSPageCount        2
   #DOSSiteCount        50
   #DOSPageInterval     1
   #DOSSiteInterval     1
   #DOSBlockingPeriod   10

   #DOSEmailNotify      you@yourdomain.com
   #DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
   #DOSLogDir           "/var/log/mod_evasive"

第一部分的參數(shù)的含義如下:

  • DOSHashTableSize - 正在訪問網(wǎng)站的 IP 地址列表及其請求數(shù)的當前列表。
  • DOSPageCount - 在一定的時間間隔內(nèi),每個頁面的請求次數(shù)。時間間隔由 DOSPageInterval 定義。
  • DOSPageInterval - mod_evasive 統(tǒng)計頁面請求次數(shù)的時間間隔。
  • DOSSiteCount - 與 DOSPageCount 相同,但統(tǒng)計的是來自相同 IP 地址對網(wǎng)站內(nèi)任何頁面的請求數(shù)量。
  • DOSSiteInterval - mod_evasive 統(tǒng)計網(wǎng)站請求次數(shù)的時間間隔。
  • DOSBlockingPeriod - 某個 IP 地址被加入黑名單的時長(以秒為單位)。

如果使用上面顯示的默認配置,則在如下情況下,一個 IP 地址會被加入黑名單:

  • 每秒請求同一頁面超過兩次。
  • 每秒請求 50 個以上不同頁面。

如果某個 IP 地址超過了這些閾值,則被加入黑名單 10 秒鐘。

這看起來可能不算久,但是,mod_evasive 將一直監(jiān)視頁面請求,包括在黑名單中的 IP 地址,并重置其加入黑名單的起始時間。只要一個 IP 地址一直嘗試使用 DOS 攻擊該網(wǎng)站,它將始終在黑名單中。

其余的參數(shù)是:

  • DOSEmailNotify - 用于接收 DOS 攻擊信息和 IP 地址黑名單的電子郵件地址。
  • DOSSystemCommand - 檢測到 DOS 攻擊時運行的命令。
  • DOSLogDir - 用于存放 mod_evasive 的臨時文件的目錄。

配置 mod_evasive

默認的配置是一個很好的開始,因為它不會阻塞任何合法的用戶。取消配置文件中的所有參數(shù)(DOSSystemCommand 除外)的注釋,如下所示:


   DOSHashTableSize   3097
   DOSPageCount       2
   DOSSiteCount       50
   DOSPageInterval    1
   DOSSiteInterval    1
   DOSBlockingPeriod  10

   DOSEmailNotify       JohnW@example.com
   #DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
   DOSLogDir            "/var/log/mod_evasive"

必須要創(chuàng)建日志目錄并且要賦予其與 apache 進程相同的所有者。這里創(chuàng)建的目錄是 /var/log/mod_evasive ,并且在 Ubuntu 上將該目錄的所有者和組設置為 www-data ,與 Apache 服務器相同:

mkdir /var/log/mod_evasive
chown www-data:www-data /var/log/mod_evasive

在編輯了 Apache 的配置之后,特別是在正在運行的網(wǎng)站上,在重新啟動或重新加載之前,最好檢查一下語法,因為語法錯誤將影響 Apache 的啟動從而使網(wǎng)站宕機。

Apache 包含一個輔助命令,是一個配置語法檢查器。只需運行以下命令來檢查您的語法:

apachectl configtest

如果您的配置是正確的,會得到如下結(jié)果:

Syntax OK

但是,如果出現(xiàn)問題,您會被告知在哪部分發(fā)生了什么錯誤,例如:

AH00526: Syntax error on line 6 of /etc/apache2/mods-enabled/evasive.conf:
DOSSiteInterval takes one argument, Set site interval
Action 'configtest' failed.
The Apache error log may have more information.

如果您的配置通過了 configtest 的測試,那么這個模塊可以安全地被啟用并且 Apache 可以重新加載:

a2enmod evasive
systemctl reload apache2.service

mod_evasive 現(xiàn)在已配置好并正在運行了。

測試

為了測試 mod_evasive,我們只需要向服務器提出足夠的網(wǎng)頁訪問請求,以使其超出閾值,并記錄來自 Apache 的響應代碼。

一個正常并成功的頁面請求將收到如下響應:

HTTP/1.1 200 OK

但是,被 mod_evasive 拒絕的將返回以下內(nèi)容:

HTTP/1.1 403 Forbidden

以下腳本會盡可能迅速地向本地主機(127.0.0.1,localhost)的 80 端口發(fā)送 HTTP 請求,并打印出每個請求的響應代碼。

你所要做的就是把下面的 bash 腳本復制到一個文件中,例如 mod_evasive_test.sh

#!/bin/bash
set -e

for i in {1..50}; do
        curl -s -I 127.0.0.1 | head -n 1
done

這個腳本的部分含義如下:

  • curl - 這是一個發(fā)出網(wǎng)絡請求的命令。
    • -s - 隱藏進度表。
    • -I - 僅顯示響應頭部信息。
  • head - 打印文件的第一部分。
    • -n 1 - 只顯示第一行。

然后賦予其執(zhí)行權(quán)限:

chmod 755 mod_evasive_test.sh

在啟用 mod_evasive 之前,腳本運行時,將會看到 50 行 “HTTP / 1.1 200 OK” 的返回值。

但是,啟用 mod_evasive 后,您將看到以下內(nèi)容:

HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
...

前兩個請求被允許,但是在同一秒內(nèi)第三個請求發(fā)出時,mod_evasive 拒絕了任何進一步的請求。您還將收到一封電子郵件(郵件地址在選項 DOSEmailNotify 中設置),通知您有 DOS 攻擊被檢測到。

mod_evasive 現(xiàn)在已經(jīng)在保護您的網(wǎng)站啦!


當前題目:用Apache服務器模塊保護您的網(wǎng)站免受應用層DOS攻擊
本文鏈接:http://m.5511xx.com/article/dhsppog.html