Das Evasive-Modul schützt Ihre Website vor DOS-Angriffen auf Anwendungsebene

Es gibt viele Angriffsmethoden, die dazu führen können, dass eine Website offline geht. Die komplexeren Methoden erfordern technische Kenntnisse in Datenbank und Programmierung. Eine einfachere Methode ist als „Denial Of Service“ (DOS)-Angriff bekannt. Der Name dieser Angriffsmethode leitet sich von ihrer Absicht ab, normale Serviceanfragen von normalen Kunden oder Website-Besuchern abzulehnen.

Generell gibt es zwei Formen von DOS-Angriffen:

Die dritte und vierte Schicht des OSI-Modells, nämlich Netzwerkschichtangriffe
Die sieben Schichten des OSI-Modells, nämlich Angriffe auf der Anwendungsschicht

Die erste Art von DOS-Angriff – Netzwerkschicht – tritt auf, wenn eine große Menge Junk-Verkehr zum Webserver fließt. Wenn der Spam-Verkehr die Fähigkeit des Netzwerks übersteigt, ihn zu verarbeiten, stürzt die Website ab.

Die zweite Art von DOS-Angriff findet auf der Anwendungsebene statt und nutzt legitime Serviceanfragen statt Junk-Traffic aus. Wenn die Anzahl der Seitenanfragen die Kapazität des Webservers übersteigt, können selbst legitime Besucher die Website nicht nutzen.

Dieser Artikel konzentriert sich auf die Abwehr von Angriffen auf Anwendungsebene, da die Abwehr von Angriffen auf Netzwerkebene erhebliche Mengen an verfügbarer Bandbreite und die Zusammenarbeit von Upstream-Anbietern erfordert, was normalerweise nicht durch die Konfiguration eines Netzwerkservers möglich ist.

Durch die Konfiguration eines normalen Webservers können Webseiten zumindest in mäßigem Maße vor Angriffen auf Anwendungsebene geschützt werden. Es ist wichtig, diese Form des Angriffs zu verhindern, da Cloudflare

[1] kürzlich [2] berichtete, dass die Anzahl der Angriffe auf Netzwerkebene abnimmt, während die Anzahl der Angriffe auf Anwendungsebene zunimmt.

In diesem Artikel wird die Verwendung des von zdziarski

[3] entwickelten Apache2-Moduls mod_evasive[4] vorgestellt.

Darüber hinaus blockiert mod_evasive die Versuche von Angreifern, zu erraten (z. B. Brute-Force-Angriffe), indem es Hunderte von Kombinationen aus Benutzername und Passwort ausprobiert.

mod_evasive protokolliert die Anzahl der Anfragen von jeder IP-Adresse. Wenn diese Zahl einen von mehreren Schwellenwerten für die entsprechende IP-Adresse überschreitet, wird eine Fehlerseite angezeigt. Fehlerseiten erfordern weitaus weniger Ressourcen als eine Online-Website, die auf legitime Besuche reagieren kann.

Installieren Sie mod_evasive unter Ubuntu 16.04

Die Standardsoftwarebibliothek von Ubuntu 16.04 enthält mod_evasive mit dem Namen „libapache2-mod-evasive“. Sie können apt-get verwenden, um die Installation abzuschließen:

apt-get update
apt-get upgrade
apt-get install libapache2-mod-evasive

Jetzt müssen wir mod_evasive konfigurieren.

Die Konfigurationsdatei befindet sich unter /etc/apache2/mods-available/evasive.conf. Standardmäßig sind alle Moduleinstellungen nach der Installation auskommentiert. Daher stört das Modul den Website-Verkehr nicht, bis die Konfigurationsdatei geändert wird.

<IfModule mod_evasive20.c>
   #DOSHashTableSize    3097
   #DOSPageCount        2
   #DOSSiteCount        50
   #DOSPageInterval     1
   #DOSSiteInterval     1
   #DOSBlockingPeriod   10

   #DOSEmailNotify      you@yourdomain.com
   #DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
   #DOSLogDir           "/var/log/mod_evasive"
</IfModule>

Der erste Teil der Parameter hat folgende Bedeutung:

• DOSHashTableSize – Aktuelle Liste der IP-Adressen, die auf die Website zugreifen, und deren Anzahl an Anfragen.
• DOSPageCount – Die Anzahl der Anfragen für jede Seite innerhalb eines bestimmten Zeitintervalls. Das Zeitintervall wird durch DOSPageInterval definiert.
• DOSPageInterval – mod_evasive zählt das Zeitintervall für Seitenanfragen.
• DOSSiteCount – Gleich wie DOSPageCount, zählt jedoch die Anzahl der Anfragen an eine beliebige Seite innerhalb der Site von derselben IP-Adresse.
• DOSSiteInterval – mod_evasive zählt das Zeitintervall für Website-Anfragen.
• DOSBlockingPeriod – Wie lange in Sekunden eine IP-Adresse auf der schwarzen Liste steht.

Wenn Sie die oben gezeigte Standardkonfiguration verwenden, wird eine IP-Adresse auf die schwarze Liste gesetzt, wenn:

• Die gleiche Seite mehr als zweimal pro Sekunde anfordern.
• Fordern Sie mehr als 50 verschiedene Seiten pro Sekunde an.

Wenn eine IP-Adresse diese Schwellenwerte überschreitet, wird sie für 10 Sekunden auf die schwarze Liste gesetzt.

Dies scheint nicht lange zu dauern, aber mod_evasive überwacht immer Seitenanfragen für IP-Adressen auf der schwarzen Liste und setzt deren Startzeit für die schwarze Liste zurück. Solange eine IP-Adresse weiterhin versucht, die Website per DOS anzugreifen, steht sie immer auf der schwarzen Liste.

Die restlichen Parameter sind:

• DOSEmailNotify – E-Mail-Adresse zum Empfangen von DOS-Angriffsinformationen und zum Blacklisting von IP-Adressen.
• DOSSystemCommand – Befehl zur Ausführung, wenn ein DOS-Angriff erkannt wird.
• DOSLogDir – Das Verzeichnis, in dem temporäre Dateien für mod_evasive gespeichert werden.

Mod_evasive konfigurieren

默认的配置是一个很好的开始，因为它不会阻塞任何合法的用户。取消配置文件中的所有参数（DOSSystemCommand 除外）的注释，如下所示：

<IfModule mod_evasive20.c>
   DOSHashTableSize   3097
   DOSPageCount       2
   DOSSiteCount       50
   DOSPageInterval    1
   DOSSiteInterval    1
   DOSBlockingPeriod  10

   DOSEmailNotify       JohnW@example.com
   #DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
   DOSLogDir            "/var/log/mod_evasive"
</IfModule>

必须要创建日志目录并且要赋予其与 apache 进程相同的所有者。这里创建的目录是 /var/log/mod_evasive ，并且在 Ubuntu 上将该目录的所有者和组设置为 www-data ，与 Apache 服务器相同：

mkdir /var/log/mod_evasive
chown www-data:www-data /var/log/mod_evasive

在编辑了 Apache 的配置之后，特别是在正在运行的网站上，在重新启动或重新加载之前，最好检查一下语法，因为语法错误将影响 Apache 的启动从而使网站宕机。

Apache 包含一个辅助命令，是一个配置语法检查器。只需运行以下命令来检查您的语法：

apachectl configtest

如果您的配置是正确的，会得到如下结果：

Syntax OK

但是，如果出现问题，您会被告知在哪部分发生了什么错误，例如：

AH00526: Syntax error on line 6 of /etc/apache2/mods-enabled/evasive.conf:
DOSSiteInterval takes one argument, Set site interval
Action 'configtest' failed.
The Apache error log may have more information.

如果您的配置通过了 configtest 的测试，那么这个模块可以安全地被启用并且 Apache 可以重新加载：

a2enmod evasive
systemctl reload apache2.service

mod_evasive 现在已配置好并正在运行了。

测试

为了测试 mod_evasive，我们只需要向服务器提出足够的网页访问请求，以使其超出阈值，并记录来自 Apache 的响应代码。

一个正常并成功的页面请求将收到如下响应：

HTTP/1.1 200 OK

但是，被 mod_evasive 拒绝的将返回以下内容：

HTTP/1.1 403 Forbidden

以下脚本会尽可能迅速地向本地主机（127.0.0.1，localhost）的 80 端口发送 HTTP 请求，并打印出每个请求的响应代码。

你所要做的就是把下面的 bash 脚本复制到一个文件中，例如 mod_evasive_test.sh：

#!/bin/bash
set -e

for i in {1..50}; do
        curl -s -I 127.0.0.1 | head -n 1
done

这个脚本的部分含义如下：

• curl - 这是一个发出网络请求的命令。
  • -s - 隐藏进度表。
  • -I - 仅显示响应头部信息。
• head - 打印文件的第一部分。
  • -n 1 - 只显示第一行。

然后赋予其执行权限：

chmod 755 mod_evasive_test.sh

在启用 mod_evasive 之前，脚本运行时，将会看到 50 行 “HTTP / 1.1 200 OK” 的返回值。

但是，启用 mod_evasive 后，您将看到以下内容：

HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
...

前两个请求被允许，但是在同一秒内第三个请求发出时，mod_evasive 拒绝了任何进一步的请求。您还将收到一封电子邮件（邮件地址在选项 DOSEmailNotify 中设置），通知您有 DOS 攻击被检测到。

mod_evasive 现在已经在保护您的网站啦！

---

Das obige ist der detaillierte Inhalt vonDas Evasive-Modul schützt Ihre Website vor DOS-Angriffen auf Anwendungsebene. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!