Modul mengelak melindungi tapak web anda daripada serangan DOS lapisan aplikasi

Terdapat banyak kaedah serangan yang boleh menyebabkan laman web menjadi luar talian Kaedah yang lebih kompleks memerlukan pengetahuan teknikal dalam pangkalan data dan pengaturcaraan. Kaedah yang lebih mudah dikenali sebagai serangan "Denial Of Service" (DOS). Nama kaedah serangan ini berasal dari niatnya: untuk menyebabkan permintaan perkhidmatan biasa daripada pelanggan biasa atau pelawat laman web ditolak.

Secara umumnya, terdapat dua bentuk serangan DOS:

Lapisan ketiga dan keempat model OSI iaitu serangan lapisan rangkaian
Tujuh lapisan model OSI iaitu serangan lapisan aplikasi

Jenis serangan DOS pertama - lapisan rangkaian, berlaku apabila sejumlah besar trafik sampah mengalir ke pelayan web. Apabila trafik spam melebihi keupayaan rangkaian untuk mengendalikannya, tapak web akan turun.

Jenis kedua serangan DOS adalah pada lapisan aplikasi dan mengeksploitasi permintaan perkhidmatan yang sah dan bukannya trafik sampah. Apabila bilangan permintaan halaman melebihi kapasiti pelayan web, pelawat yang sah pun tidak akan dapat menggunakan tapak web tersebut.

Artikel ini akan menumpukan pada mengurangkan serangan lapisan aplikasi, kerana mengurangkan serangan lapisan rangkaian memerlukan sejumlah besar lebar jalur yang tersedia dan kerjasama penyedia huluan, yang biasanya tidak dapat dilakukan dengan mengkonfigurasi pelayan rangkaian.

Dengan mengkonfigurasi pelayan web biasa, halaman web boleh dilindungi daripada serangan lapisan aplikasi, sekurang-kurangnya pada tahap sederhana. Mencegah bentuk serangan ini adalah penting kerana Cloudflare

[1] baru-baru ini melaporkan [2] bahawa bilangan serangan lapisan rangkaian semakin berkurangan manakala bilangan serangan lapisan aplikasi semakin meningkat.

Artikel ini akan memperkenalkan cara menggunakan modul Apache2 mod_evasive

[4] yang dibangunkan oleh zdziarski[3].

Selain itu, mod_evasive menyekat percubaan penyerang untuk meneka (iaitu serangan brute force) dengan mencuba ratusan kombinasi nama pengguna dan kata laluan.

mod_evasive mencatatkan bilangan permintaan daripada setiap alamat IP. Apabila nombor ini melebihi satu daripada beberapa ambang untuk alamat IP yang sepadan, halaman ralat muncul. Halaman ralat memerlukan sumber yang jauh lebih sedikit daripada tapak web dalam talian yang boleh membalas lawatan yang sah.

Pasang mod_evasive pada Ubuntu 16.04

Pustaka perisian lalai Ubuntu 16.04 termasuk mod_evasive, dinamakan "libapache2-mod-evasive". Anda boleh menggunakan apt-get untuk melengkapkan pemasangan:

apt-get update
apt-get upgrade
apt-get install libapache2-mod-evasive

Sekarang kita perlu mengkonfigurasi mod_evasive.

Fail konfigurasinya terletak di /etc/apache2/mods-available/evasive.conf. Secara lalai, semua tetapan modul diulas selepas pemasangan. Oleh itu, modul tidak akan mengganggu trafik tapak web sehingga fail konfigurasi diubah suai.

<IfModule mod_evasive20.c>
   #DOSHashTableSize    3097
   #DOSPageCount        2
   #DOSSiteCount        50
   #DOSPageInterval     1
   #DOSSiteInterval     1
   #DOSBlockingPeriod   10

   #DOSEmailNotify      you@yourdomain.com
   #DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
   #DOSLogDir           "/var/log/mod_evasive"
</IfModule>

Maksud bahagian pertama parameter adalah seperti berikut:

• DOSHashTableSize - Senarai semasa alamat IP yang mengakses tapak web dan bilangan permintaannya.
• DOSPageCount - Bilangan permintaan untuk setiap halaman dalam selang masa tertentu. Selang masa ditentukan oleh DOSPageInterval.
• DOSPageInterval - mod_evasive mengira selang masa untuk permintaan halaman.
• DOSSiteCount - Sama seperti DOSPageCount, tetapi mengira bilangan permintaan ke mana-mana halaman dalam tapak daripada alamat IP yang sama.
• DOSSiteInterval - mod_evasive mengira selang masa untuk permintaan tapak web.
• DOSBlockingPeriod - Berapa lama dalam beberapa saat alamat IP telah disenaraihitamkan.

Jika anda menggunakan konfigurasi lalai yang ditunjukkan di atas, alamat IP akan disenaraihitamkan jika:

• Meminta halaman yang sama lebih daripada dua kali sesaat.
• Minta lebih daripada 50 halaman berbeza sesaat.

Jika alamat IP melebihi ambang ini, ia akan disenaraihitamkan selama 10 saat.

Ini mungkin tidak kelihatan seperti masa yang lama, tetapi mod_evasive akan sentiasa memantau permintaan halaman untuk alamat IP yang disenaraihitamkan dan menetapkan semula masa mula senarai hitamnya. Selagi alamat IP terus cuba menyerang DOS tapak web, ia akan sentiasa berada dalam senarai hitam.

Parameter selebihnya ialah:

• DOSEmailNotify - Alamat e-mel untuk menerima maklumat serangan DOS dan penyenaraian hitam alamat IP.
• DOSSystemCommand - Perintah untuk dijalankan apabila serangan DOS dikesan.
• DOSLogDir - Direktori yang digunakan untuk menyimpan fail sementara untuk mod_evasive.

Konfigurasikan mod_evasive

默认的配置是一个很好的开始，因为它不会阻塞任何合法的用户。取消配置文件中的所有参数（DOSSystemCommand 除外）的注释，如下所示：

<IfModule mod_evasive20.c>
   DOSHashTableSize   3097
   DOSPageCount       2
   DOSSiteCount       50
   DOSPageInterval    1
   DOSSiteInterval    1
   DOSBlockingPeriod  10

   DOSEmailNotify       JohnW@example.com
   #DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
   DOSLogDir            "/var/log/mod_evasive"
</IfModule>

必须要创建日志目录并且要赋予其与 apache 进程相同的所有者。这里创建的目录是 /var/log/mod_evasive ，并且在 Ubuntu 上将该目录的所有者和组设置为 www-data ，与 Apache 服务器相同：

mkdir /var/log/mod_evasive
chown www-data:www-data /var/log/mod_evasive

在编辑了 Apache 的配置之后，特别是在正在运行的网站上，在重新启动或重新加载之前，最好检查一下语法，因为语法错误将影响 Apache 的启动从而使网站宕机。

Apache 包含一个辅助命令，是一个配置语法检查器。只需运行以下命令来检查您的语法：

apachectl configtest

如果您的配置是正确的，会得到如下结果：

Syntax OK

但是，如果出现问题，您会被告知在哪部分发生了什么错误，例如：

AH00526: Syntax error on line 6 of /etc/apache2/mods-enabled/evasive.conf:
DOSSiteInterval takes one argument, Set site interval
Action 'configtest' failed.
The Apache error log may have more information.

如果您的配置通过了 configtest 的测试，那么这个模块可以安全地被启用并且 Apache 可以重新加载：

a2enmod evasive
systemctl reload apache2.service

mod_evasive 现在已配置好并正在运行了。

测试

为了测试 mod_evasive，我们只需要向服务器提出足够的网页访问请求，以使其超出阈值，并记录来自 Apache 的响应代码。

一个正常并成功的页面请求将收到如下响应：

HTTP/1.1 200 OK

但是，被 mod_evasive 拒绝的将返回以下内容：

HTTP/1.1 403 Forbidden

以下脚本会尽可能迅速地向本地主机（127.0.0.1，localhost）的 80 端口发送 HTTP 请求，并打印出每个请求的响应代码。

你所要做的就是把下面的 bash 脚本复制到一个文件中，例如 mod_evasive_test.sh：

#!/bin/bash
set -e

for i in {1..50}; do
        curl -s -I 127.0.0.1 | head -n 1
done

这个脚本的部分含义如下：

• curl - 这是一个发出网络请求的命令。
  • -s - 隐藏进度表。
  • -I - 仅显示响应头部信息。
• head - 打印文件的第一部分。
  • -n 1 - 只显示第一行。

然后赋予其执行权限：

chmod 755 mod_evasive_test.sh

在启用 mod_evasive 之前，脚本运行时，将会看到 50 行 “HTTP / 1.1 200 OK” 的返回值。

但是，启用 mod_evasive 后，您将看到以下内容：

HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
...

前两个请求被允许，但是在同一秒内第三个请求发出时，mod_evasive 拒绝了任何进一步的请求。您还将收到一封电子邮件（邮件地址在选项 DOSEmailNotify 中设置），通知您有 DOS 攻击被检测到。

mod_evasive 现在已经在保护您的网站啦！

---

Atas ialah kandungan terperinci Modul mengelak melindungi tapak web anda daripada serangan DOS lapisan aplikasi. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!