Apache gegen DDoS schützen

Ich bin heute über das Rootforum auf das Apache-Modul mod_evasive aufmerksam geworden. Damit ist es möglich, den Apache-Webserver gegen DDoS-Attacken zu schützen: In einer internen Hash-Tabelle legt das Modul die IP des anfragenden Clients ab und zählt, wieviele Aufrufe auf dasselbe Objekt innerhalb einer definierten Zeitspanne erfolgt sind. Überschreitet die Anzahl der Aufrufe einen bestimmten Grenzwert, erhält der Client einen 403er und der Apache spart sich somit Bandbreite und Rechenzeit. Falls der Angreifer innerhalb der Sperrzeit weiter dasselbe Objekt anfordert, verlängert sich die Sperre.

Unter Debian ändert man die mod_evasive.c und passt den Mailer an:
#define MAILER "/usr/lib/sendmail -t %s"

Die Installation des Moduls gestaltet sich dank APXS sehr einfach:
apxs -iac mod_evasive.c.

Dann noch die vordefinierten Direktiven in die httpd.conf kopieren:
LoadModule evasive_module /usr/lib/apache/1.3/mod_evasive.so
< IfModule mod_evasive.c >
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSEmailNotify webmaster@ff-newmedia.net
# DOSSystemCommand "su - someuser -c '/sbin/... %s ...'"
# DOSLogDir "/var/log/apache/mod_evasive"
# DOSWhitelist 127.0.0.1
< /IfModule >

… und das ganze an den eigenen Geschmack anpassen. Im Falle eines Angriffs wird der Admin sogar per E-Mail informiert! Über die Direktive DOSSystemCommand ließe sich z.B. iptables mit der angreifenden IP füttern, um den Angreifer gleich auf Netzwerkebene herauszufiltern. Mit dem beigelegten Perl-Skript “test.pl” kann man testen ob die Sperre funktioniert.

Auch das Linux-Magazin berichtet in seiner aktuellen Ausgabe über mod_evasive:

Der Webserver Apache vermag sich aus eigener Kraft zu wehren, wenn DoS-Angreifer das Kriegsbeil ausgraben. Er setzt nur den einfach zu konfigurierenden Mod_evasive als Späher und Spurenleser ein.

Das Modul kann auch keinen perfekten Schutz gegen einen DDoS bieten, ist aber ein weiterer Baustein in einem umfassenden Sicherheitskonzept.

3 Replies to “Apache gegen DDoS schützen”

  1. Durch das Rootforum.de und einen Blog Eintrag im plantet.rootforum.de bin ich auf mod_evasive gestossen.

    Mod_Evasive ist Modul zum schützen des Apachen gegen DDos Angriffe. Werde ich bei Gelegenheit gleich mal auf meinem Debian Testsystem installieren

  2. About a week ago, I installed mod_evasive on my webserves, as I read a article about it in the Linux Magazin. (ff also reported about it). This apache module can save you again "smaller" DoS attacks (a real DoS attack will not be handable for th

Leave a Reply

Your email address will not be published. Required fields are marked *