Một khả năng bổ sung của module này là nó có thể thực thi các lệnh hệ thống khi cuộc tấn công DoS được xác định.Điều này cung cấp khả năng gửi địa chỉ IP tấn công vào các ứng dụng bảo mật khác như tường lửa để chặn các IP vi phạm
Tuy nhiên nhược điểm của mod_dosevasive là tốn băng thông cũng như bộ vi xử lý
Cách thức làm việc của Mod_Dosevasive : Mod_Dosevasive xác định các cuộc tấn công bằng các tạo và sử dụng một bảng băm nội bộ linh hoạt cặp IP và URI dựa trên các yêu cầu nhận được.Khi một yêu cầu mới đến Mod_dos sẽ thực hiện các nhiệm vụ sau :
Địa chỉ IP của khách hàng được kiểm tra trong danh sách đen tạm thời của bảng băm. Nếu địa chỉ IP có trong list thì sẽ bị cấm (403 forbidden)
Nếu khách hàng không trong danh sách đen, sau đó các địa chỉ IP của khách hàng và các Universal Resource Identifier (URI) yêu cầu được băm vào một phím. Mod_Dosevasive sau đó sẽ kiểm tra của bảng băm người nghe để xác minh nếu có các băm cùng tồn tại . Nếu có, nó sau đó sẽ đánh giá tổng số băm lần xuất hiện và khung thời gian mà họ đã được yêu cầu trong so với ngưỡng quy định trong file httpd.conf của các chỉ thị Mod_Dosevasive.
. Nếu yêu cầu không được từ chối bởi cáclần kiểm tra trước, thì chỉ cần địa chỉ IP của máy khách được băm vào một phím. Các module sau đó sẽ kiểm tra bảng băm trong thời trang như trên. Sự khác biệt duy nhất với kiểm tra này là nó không phải là nhân tố trong URI là kiểm tra. Nó sẽ kiểm tra xem số lượng khách hàng đã yêu cầu ở trên ngưỡng đặt cho toàn bộ trang web theo các khoảng thời gian quy định.
Nói Chung
Các module mở rộng mod_dosevasive cố gắng để phát hiện và từ chối yêu cầu vô nghĩa bằng cách hạn chế số lượng truy vấn trong một khoảng thời gian nhất định từ một trong những khách hàng yêu cầu.
Cài đặt và cấu hình
Download mod_dosevasive.1.9.tar.gz trên http://tools.l0t3k.net/Hardening/MD5SUM
tar zxvf mod_dosevasive_1.10.tar.gz
cd mod_dosevasive
/usr/local/apache/bin/apxs -i -a -c mod_dosevasive.c
If you're using Apache 2, use this command instead of ^:
/usr/local/apache/bin/apxs -i -a -c mod_dosevasive20.c
Add the following to httpd.conf
<IfModule mod_dosevasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSEmailNotify you@email.com
DOSSystemCommand "su - user -c '/sbin/... %s ...'"
</IfModule>
Descriptions:
- DOSHashTableSize: the size of the table of URL and IP combined
- DOSPageCount: the number of same page requests from the same IP during an interval that will cause that IP to be added to the block lt.
- DOSSiteCount: the number of pages requested of a site by the same IP during an interval which will cause the IP to be added to the block lt.
- DOSPageInterval: the interval that the hash table for IPs and URLs erased (in seconds)
- DOSSiteInterval: the intervale that the hash table of IPs erased (in seconds)
- DOSBlockingPeriod: the time the IP blacked (in seconds)
- DOSEmailNotify: can be used to notify by sending an email everytime an IP blocked
- DOSSystemCommand: the command used to execute a command when an IP blocked. It can be used to add a block the user from a firewall or router.
- DOSWhiteLt: can be used to whitelt IPs such as 127.0.0.1
Đã Test .Chống DoSHTTP cực kỳ hiệu quả
D4ngh3t
Không có nhận xét nào:
Đăng nhận xét