Как защитить от DoS и DDoS с помощью mod_evasive для Apache на CentOS 7

Модуль Apache mod_evasive, ранее известный как mod_dosevasive, помогает защитить от DoS, DDoS (распределенного отказа в обслуживании) и атак методом перебора на веб-сервере Apache. Он может обеспечить уклоняющееся действие во время атак и сообщать о злоупотреблениях через электронную почту и средства системного журнала. Модуль работает, создавая внутреннюю динамическую таблицу IP-адресов и URI, а также отклоняя любой отдельный IP-адрес от любого из следующего:

Если какое-либо из указанных выше условий выполнено, отправляется ответ 403, и IP-адрес регистрируется. При желании владельцу сервера может быть отправлено уведомление по электронной почте или может быть запущена системная команда для блокировки IP-адреса.

В этом руководстве мы обсудим, как установить, настроить и использовать mod_evasive на вашем сервере.

Прежде чем приступить к работе с этим учебником, вы должны иметь следующее:

[[step-1 -—- install-mod_evasive]] == Шаг 1. Установка mod_evasive

В этом разделе мы установим пакеты, необходимые для работы mod_evasive, и, наконец, установим mod_evasive.

Во-первых, нам нужно установить репозиторий yum EPEL (Extra Packages for Enterprise Linux) на сервере. EPEL - это специальная группа по интересам Fedora, которая создает, поддерживает и управляет высококачественным набором дополнительных программных пакетов с открытым исходным кодом для Enterprise Linux. Выполните следующую команду, чтобы установить и включить репозиторий EPEL на вашем сервере:

На CentOS 7:

На CentOS 6:

Давайте проверим, что репо EPEL включено с помощью:

Если включено, вы увидите следующее репо в списке:

Теперь давайте защитим базовые пакеты от EPEL с помощью плагина yumprotectbase.

Плагинprotectbase предназначен для защиты определенных репозиториев yum от обновлений из других репозиториев. Пакеты в защищенных хранилищах не будут обновляться или переопределяться пакетами в незащищенных хранилищах, даже если незащищенное хранилище имеет более позднюю версию.

Теперь мы готовы установить модуль mod_evasive. Запустите следующую команду, чтобы установить его:

[[step-2 -—- verifying-the-installation]] == Шаг 2 - Проверка установки

Теперь, когда mod_evasive установлен, давайте проверим, что файл конфигурации установлен и модуль загружается.

Во время установки был добавлен файл конфигурации mod_evasive/etc/httpd/conf.d/mod_evasive.conf. Чтобы проверить этот прогон:

Вывод должен выглядеть примерно так:

По умолчанию следующая строкаLoadModule будет добавлена ​​в начало файла конфигурацииmod_evasive.conf. Откройте файл и добавьте строку, если ее еще нет. Эта строка указывает веб-серверу Apache загрузить и использовать модуль mod_evasive.

На CentOS 7 строка должна выглядеть следующим образом:

/etc/httpd/conf.d/mod_evasive.conf

На CentOS 6 строка должна выглядеть следующим образом:

/etc/httpd/conf.d/mod_evasive.conf

Давайте перечислим модули, загруженные для веб-сервера Apache, и поищем mod_evasive:

Вывод должен показать:

[[step-3 -—- configuring-mod_evasive]] == Шаг 3 - Настройка mod_evasive

Теперь, когда установка завершена и проверена, давайте посмотрим на конфигурацию модуля. mod_evasive можно легко настроить с помощью файла конфигурацииmod_evasive.conf. Мы обсудим некоторые параметры конфигурации в этом руководстве. Пожалуйста, обратитесь к файлу конфигурации для получения информации обо всех параметрах - он содержит описание каждого параметра.

Один из параметров конфигурации, который вам нужно изменить, -DOSEmailNotify. Это очень полезная директива. Если это значение установлено, электронное письмо будет отправлено на адрес электронной почты, указанный при каждом попадании IP-адреса в черный список. В теле письма будет отображатьсяmod_evasive HTTP Blacklisted 111.111.111.111

Например, если вы хотите отправлять предупреждения mod_evasive, чтобы сказать[email protected], отредактируйте файл:

Раскомментируйте строкуDOSEmailNotify, удалив# перед строкой, и измените адрес электронной почты на свой:

/etc/httpd/conf.d/mod_evasive.conf

[.note] #Note: mod_evasive использует/bin/mail для отправки предупреждений по электронной почте. У вас должен быть установлен и работает почтовый сервер. Пожалуйста, обратитесь кthis tutorial для получения информации о том, как настроить простой почтовый сервер для работы уведомлений по электронной почте.
#

Другой параметр, который вы, возможно, захотите установить, - этоDOSWhitelist. Используя эту опцию, IP-адреса доверенных клиентов могут быть добавлены в белый список, чтобы гарантировать, что они никогда не будут отклонены. Целью белого списка является защита программного обеспечения, сценариев, локальных поисковых роботов или других автоматизированных инструментов от отказа в запросе больших объемов данных с сервера.

Чтобы внести в белый список IP-адрес, например 111.111.111.111, добавьте запись в файл конфигурации, например:

/etc/httpd/conf.d/mod_evasive.conf

При необходимости можно использовать подстановочные знаки до 3 последних октетов IP-адреса.

Чтобы внести в белый список несколько IP-адресов из разных диапазонов, вы можете добавить отдельные строки DOSWhitelist в файл конфигурации, например:

/etc/httpd/conf.d/mod_evasive.conf

DOSPageCount иDOSSiteCount - два других параметра, которые рекомендуется изменить на менее агрессивные значения, чтобы избежать ненужной блокировки клиентов.

DOSPageCount - это ограничение на количество запросов одной и той же страницы на интервал между страницами (обычно устанавливается равным одной секунде) по IP-адресу. Как только порог для этого интервала будет превышен, IP-адрес клиента будет добавлен в список заблокированных. Значение по умолчанию установлено довольно низким на 2. Вы можете изменить его на более высокое значение, например 20, отредактировав следующее в/etc/httpd/conf.d/mod_evasive.conf:

/etc/httpd/conf.d/mod_evasive.conf

DOSSiteCount - это ограничение на общее количество запросов для одного и того же веб-сайта по IP-адресу за интервал сайта (по умолчанию 1 секунда). Чтобы изменить его на большее значение, например, 100 секунд:

/etc/httpd/conf.d/mod_evasive.conf

Есть несколько других параметров, которые вы можете изменить для достижения лучшей производительности.

Один из них -DOSBlockingPeriod, то есть время (в секундах), в течение которого клиент (IP-адрес) будет заблокирован, если он будет добавлен в список заблокированных. В течение этого времени все последующие запросы от клиента приведут к ошибке 403 (Запрещено) и сбросу таймера (по умолчанию 10 секунд).

Например, если вы хотите увеличить период блокировки до 300 секунд:

/etc/httpd/conf.d/mod_evasive.conf

Другой -DOSLogDir, который относится к временному каталогу, используемому mod_evasive. По умолчанию/tmp будет использоваться для механизма блокировки, который вызывает некоторые проблемы с безопасностью, если ваша система открыта для пользователей оболочки. Если у вас есть непривилегированные пользователи оболочки, вы захотите создать каталог, доступный для записи только пользователю, под именем которого работает Apache (обычноapache), а затем установите этот параметр в вашем файле mod_evasive.conf.

Например, чтобы установить каталог, используемый mod_evasive, на/var/log/mod_evasive, создайте каталог, используя:

Затем установите право собственности наapache user:

Теперь отредактируйте конфигурацию mod_evasive и измените каталог следующим образом:

/etc/httpd/conf.d/mod_evasive.conf

Другой параметр -DOSSystemCommand. Если установлено значение, указанная команда будет выполняться всякий раз, когда IP-адрес занесен в черный список. Используя этот параметр, вы можете интегрировать mod_evasive с установленным на вашем сервере брандмауэром или сценарием оболочки и блокировать IP-адреса, занесенные в черный список с помощью mod_evasive в брандмауэре.

[[step-4 -—- loading-the-mod_evasive-module]] == Шаг 4 - Загрузка модуля mod_evasive

После того, как мы внесли изменения в файл конфигурации, нам нужно перезапустить веб-сервер Apache, чтобы они вступили в силу. Выполните следующую команду, чтобы перезапустить Apache.

На CentOS 7:

На CentOS6:

[.note] #Note: Обратите внимание, что mod_evasive конфликтует с серверными расширениями FrontPage. Вы также можете проверить настройки своего веб-сервера Apache, чтобы убедиться, что mod_evasive может нормально работать. Предлагаемые настройки Apache должны иметь очень высокое значение дляMaxRequestsPerChild, но не неограниченное (нулевое значение подразумевает неограниченное количество) и включатьKeepAlive с достаточно длинным значениемKeepAliveTimeout.
#

[[step-5 -—- testing-mod_evasive]] == Шаг 5. Тестирование mod_evasive

Давайте сделаем небольшой тест, чтобы увидеть, работает ли модуль правильно. Мы будем использовать Perl-скриптtest.pl, написанный разработчиками mod_evasive. Чтобы выполнить скрипт, нам нужно сначала установить пакетperl на сервер, используя:

Тестовый скрипт установлен с mod_evasive в следующем месте:

По умолчанию тестовый сценарий запрашивает одну и ту же страницу с вашего веб-сервера Apache 100 раз подряд для запуска mod_evasive. В последнем разделе мы модифицировали mod_evasive, чтобы сделать его более терпимым к запросам в секунду на одну и ту же страницу. Нам нужно изменить скрипт на 200 запросов подряд вместо 100, чтобы убедиться, что мы запускаем все методы уведомлений mod_evasive.

Отредактируйте/usr/share/doc/mod_evasive-1.10.1/test.pl:

Найдите следующую строку:

/usr/share/doc/mod_evasive-1.10.1/test.pl

Замените100 на200:

/usr/share/doc/mod_evasive-1.10.1/test.pl

Сохранить и выйти.

Чтобы выполнить скрипт, запустите:

Вы должны увидеть вывод, похожий на:

Сценарий делает 100 запросов на ваш веб-сервер. код ответа 403 указывает, что доступ запрещен веб-сервером. mod_evasive также регистрирует в системном журнале, когда IP-адрес заблокирован. Проверьте файл журнала, используя:

Должна отображаться строка, похожая на:

указывает на то, что IP-адрес заблокирован mod_evasive.

Если вы настроили mod_evasive для отправки уведомлений по электронной почте, когда IP-адрес заблокирован, в вашем почтовом ящике будет электронное письмо со следующим содержанием:

mod_evasive отлично подходит для защиты от одного сервера, атак с использованием сценариев, а также от распределенных атак. Тем не менее, это полезно только для общей пропускной способности вашего сервера и процессорной мощности для обработки и ответа на недопустимые запросы. Поэтому для максимальной защиты рекомендуется интегрировать этот модуль с брандмауэром вашего сервера. Без действительно хорошей инфраструктуры и брандмауэра тяжелый DDoS может по-прежнему переводить вас в автономный режим. Если атака очень тяжелая и постоянная, вам может потребоваться перейти на аппаратное решение для предотвращения DDoS-атак.