Le module évasif protège votre site Web des attaques DOS de la couche application

Il existe de nombreuses méthodes d'attaque qui peuvent provoquer la mise hors ligne d'un site Web. Les méthodes les plus complexes nécessitent des connaissances techniques en base de données et en programmation. Une méthode plus simple est connue sous le nom d'attaque "Denial Of Service" (DOS). Le nom de cette méthode d'attaque vient de son intention : faire refuser les demandes de service normales des clients ordinaires ou des visiteurs du site Web.

D'une manière générale, il existe deux formes d'attaques DOS :

Les troisième et quatrième couches du modèle OSI, à savoir les attaques de la couche réseau
Sept couches du modèle OSI, à savoir les attaques de la couche application

Le premier type d'attaque DOS - couche réseau, se produit lorsqu'une grande quantité de trafic indésirable circule vers le serveur Web. Lorsque le trafic de spam dépasse la capacité du réseau à le gérer, le site Web tombe en panne.

Le deuxième type d'attaque DOS concerne la couche application et exploite les demandes de service légitimes plutôt que le trafic indésirable. Lorsque le nombre de requêtes de pages dépasse la capacité du serveur Web, même les visiteurs légitimes ne pourront pas utiliser le site Web.

Cet article se concentrera sur l'atténuation des attaques de la couche application, car l'atténuation des attaques de la couche réseau nécessite des quantités importantes de bande passante disponible et la coopération des fournisseurs en amont, ce qui n'est généralement pas possible en configurant un serveur réseau.

En configurant un serveur Web normal, les pages Web peuvent être protégées contre les attaques de la couche application, au moins dans une mesure modérée. Il est important de prévenir cette forme d'attaque, car Cloudflare

[1] a récemment signalé [2] que le nombre d'attaques au niveau de la couche réseau diminue tandis que le nombre d'attaques au niveau de la couche application augmente.

Cet article présentera comment utiliser le module Apache2 mod_evasive

[4] développé par zdziarski[3].

De plus, mod_evasive bloque les tentatives de deviner des attaquants (c'est-à-dire les attaques par force brute) en essayant des centaines de combinaisons de nom d'utilisateur et de mot de passe.

mod_evasive enregistre le nombre de requêtes de chaque adresse IP. Lorsque ce nombre dépasse l'un des nombreux seuils pour l'adresse IP correspondante, une page d'erreur apparaît. Les pages d'erreur nécessitent beaucoup moins de ressources qu'un site Web en ligne capable de répondre à des visites légitimes.

Installez mod_evasive sur Ubuntu 16.04

La bibliothèque logicielle par défaut d'Ubuntu 16.04 inclut mod_evasive, nommé "libapache2-mod-evasive". Vous pouvez utiliser apt-get pour terminer l'installation :

apt-get update
apt-get upgrade
apt-get install libapache2-mod-evasive

Maintenant, nous devons configurer mod_evasive.

Son fichier de configuration se trouve dans /etc/apache2/mods-available/evasive.conf. Par défaut, tous les paramètres du module sont commentés après l'installation. Par conséquent, le module n'interférera pas avec le trafic du site Web jusqu'à ce que le fichier de configuration soit modifié.

<IfModule mod_evasive20.c>
   #DOSHashTableSize    3097
   #DOSPageCount        2
   #DOSSiteCount        50
   #DOSPageInterval     1
   #DOSSiteInterval     1
   #DOSBlockingPeriod   10

   #DOSEmailNotify      you@yourdomain.com
   #DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
   #DOSLogDir           "/var/log/mod_evasive"
</IfModule>

La signification de la première partie des paramètres est la suivante :

• DOSHashTableSize - Liste actuelle des adresses IP qui accèdent au site Web et leur nombre de demandes.
• DOSPageCount - Le nombre de requêtes pour chaque page dans un certain intervalle de temps. L'intervalle de temps est défini par DOSPageInterval.
• DOSPageInterval - mod_evasive compte l'intervalle de temps pour les demandes de pages.
• DOSSiteCount - Identique à DOSPageCount, mais compte le nombre de requêtes vers n'importe quelle page du site à partir de la même adresse IP.
• DOSSiteInterval - mod_evasive compte l'intervalle de temps pour les requêtes de site Web.
• DOSBlockingPeriod - Combien de temps en secondes une adresse IP a été mise sur liste noire.

Si vous utilisez la configuration par défaut indiquée ci-dessus, une adresse IP sera sur liste noire si :

• Demander la même page plus de deux fois par seconde.
• Demandez plus de 50 pages différentes par seconde.

Si une adresse IP dépasse ces seuils, elle est mise sur liste noire pendant 10 secondes.

Cela peut ne pas sembler long, mais mod_evasive surveillera toujours les demandes de pages pour les adresses IP sur liste noire et réinitialisera l'heure de début de leur liste noire. Tant qu’une adresse IP continue d’essayer d’attaquer le site Web par DOS, elle sera toujours sur la liste noire.

Les paramètres restants sont :

• DOSEmailNotify - Adresse e-mail pour recevoir des informations sur les attaques DOS et la liste noire des adresses IP.
• DOSSystemCommand - Commande à exécuter lorsqu'une attaque DOS est détectée.
• DOSLogDir - Le répertoire utilisé pour stocker les fichiers temporaires pour mod_evasive.

Configurer mod_evasive

默认的配置是一个很好的开始，因为它不会阻塞任何合法的用户。取消配置文件中的所有参数（DOSSystemCommand 除外）的注释，如下所示：

<IfModule mod_evasive20.c>
   DOSHashTableSize   3097
   DOSPageCount       2
   DOSSiteCount       50
   DOSPageInterval    1
   DOSSiteInterval    1
   DOSBlockingPeriod  10

   DOSEmailNotify       JohnW@example.com
   #DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
   DOSLogDir            "/var/log/mod_evasive"
</IfModule>

必须要创建日志目录并且要赋予其与 apache 进程相同的所有者。这里创建的目录是 /var/log/mod_evasive ，并且在 Ubuntu 上将该目录的所有者和组设置为 www-data ，与 Apache 服务器相同：

mkdir /var/log/mod_evasive
chown www-data:www-data /var/log/mod_evasive

在编辑了 Apache 的配置之后，特别是在正在运行的网站上，在重新启动或重新加载之前，最好检查一下语法，因为语法错误将影响 Apache 的启动从而使网站宕机。

Apache 包含一个辅助命令，是一个配置语法检查器。只需运行以下命令来检查您的语法：

apachectl configtest

如果您的配置是正确的，会得到如下结果：

Syntax OK

但是，如果出现问题，您会被告知在哪部分发生了什么错误，例如：

AH00526: Syntax error on line 6 of /etc/apache2/mods-enabled/evasive.conf:
DOSSiteInterval takes one argument, Set site interval
Action 'configtest' failed.
The Apache error log may have more information.

如果您的配置通过了 configtest 的测试，那么这个模块可以安全地被启用并且 Apache 可以重新加载：

a2enmod evasive
systemctl reload apache2.service

mod_evasive 现在已配置好并正在运行了。

测试

为了测试 mod_evasive，我们只需要向服务器提出足够的网页访问请求，以使其超出阈值，并记录来自 Apache 的响应代码。

一个正常并成功的页面请求将收到如下响应：

HTTP/1.1 200 OK

但是，被 mod_evasive 拒绝的将返回以下内容：

HTTP/1.1 403 Forbidden

以下脚本会尽可能迅速地向本地主机（127.0.0.1，localhost）的 80 端口发送 HTTP 请求，并打印出每个请求的响应代码。

你所要做的就是把下面的 bash 脚本复制到一个文件中，例如 mod_evasive_test.sh：

#!/bin/bash
set -e

for i in {1..50}; do
        curl -s -I 127.0.0.1 | head -n 1
done

这个脚本的部分含义如下：

• curl - 这是一个发出网络请求的命令。
  • -s - 隐藏进度表。
  • -I - 仅显示响应头部信息。
• head - 打印文件的第一部分。
  • -n 1 - 只显示第一行。

然后赋予其执行权限：

chmod 755 mod_evasive_test.sh

在启用 mod_evasive 之前，脚本运行时，将会看到 50 行 “HTTP / 1.1 200 OK” 的返回值。

但是，启用 mod_evasive 后，您将看到以下内容：

HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
...

前两个请求被允许，但是在同一秒内第三个请求发出时，mod_evasive 拒绝了任何进一步的请求。您还将收到一封电子邮件（邮件地址在选项 DOSEmailNotify 中设置），通知您有 DOS 攻击被检测到。

mod_evasive 现在已经在保护您的网站啦！

---

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!