Tuesday , 17 January 2017
Home » Bài theo kỳ » Một số module chống DDOS cho IIS và Apache (P2)

Một số module chống DDOS cho IIS và Apache (P2)

Một số module chống DDOS cho IIS và Apache #02

Phần 1:

Xem thêm

Trong các phần trước anninhmang đã giới thiệu tới các bạn Mod Security triển khai trên Apache và trên IIS trên môi trường Windows, hôm nay tiếp tục giới thiệu tới các bạn triển khai Module chống DOS  hiệu qủa. Đó là Modules Evasive hỗ trợ trên cả 2 môi trường Windows và Linux. Trong bài viết triển khai trên môi trường Windows

  1. Download và cài đặt

a) Cài đặt thư viện Visual Studio® 2008 SP1 x64 hoặc x86 trên trang Microsoft

b) Modules

Các bạn có thể Download tại đây: [sociallocker]https://www.apachehaus.net/modules/mod_evasive2/[/sociallocker]

Tại đây ta có các bản dành cho apache2.2 hoặc apache2.4 trên 32b hoặc 64b

–          Bước 1:  Sau khi download về ta giản nén và copy file mod_evasive2.so vào thư mục Apache 2.2.x \modules

–          Bước 2: Cấu hình trong file httpd.conf

Mở file httpd.conf trong thư mục của server Apache và thêm vào dòng sau:

LoadModule evasive2_module modules/mod_evasive2.so

Mặc định Mod có các thông số mặc định nhưng ta có thể cấu hình với các thông số dưới đây trong file httpd.conf

<IfModule evasive2_module>

DOSDisplayToken      On

DOSHashTableSize    3097

DOSPageCount        2

DOSSiteCount        50

DOSPageInterval     1

DOSSiteInterval     1

DOSBlockingPeriod   10

</IfModule>

mod dos on apache

Cách họat động của Mod_Dosevasive:

Mod_Dosevasive xác định các cuộc tấn công bằng các tạo và sử dụng một bảng băm nội bộ linh hoạt 2 giá trị được băm là (IP và URI) yêu cầu. Khi một yêu cầu mới đến Mod_dos sẽ thực hiện các nhiệm vụ sau :

Địa chỉ IP của client được kiểm tra trong danh sách black tạm thời của bảng băm. Nếu địa chỉ IP có trong list thì sẽ bị cấm (403 forbidden)

Nếu IP của client không trong danh sách black, sau đó các địa chỉ IP của khách hàng và các Universal Resource Identifier (URI) yêu cầu được băm và lưu vào bảng. Tiếp theo Mod_Dosevasive sau sẽ kiểm tra trong bảng băm để xác minh giá trị vừa băm có trong băm hay chưa?  Nếu có, nó sau đó sẽ đánh giá tổng số băm lần xuất hiện và khung thời gian mà họ đã được yêu cầu trong so với ngưỡng quy định trong file httpd.conf  như các thiết lập ở trên.

Giải thích các tham số trên:

  • DOSHashTableSize là kích thước của bảng băm để lưu các địa chỉ IP
  • DOSPageCount là số trang cho phép tải trong một giây khi chưa bị gán cờ vi phạm
  • DOSSiteCount là số các đối tượng cho phép truy xuất trong thời gian DOSSiteInterval (các đối tượng đó như: images, style sheets, javascripts, SSI, …)trong  trường hợp này là 50 đối tượng trên 1 giây.
  • DOSPageInterval là khoảng thời gian bằng giây để thiết lập cho DOSPageCount
  • DOSSiteInterval là khoảng thời gian bằng giây để thiết lập cho DOSSiteCount
  • DOSBlockingPeriod là thời gian tính bằng giây IP đó sẽ bị cấm và sẽ nhận lỗi (Forbidden)

+ Test thử: Bằng cách bạn mở trình duyệt và nhấn F5 (refresh) liên tục tức là đã gửi yêu cầu nhanh và nhiều liên tục coi như đã vi phạm các thông số và IP của bạn sẽ bị cấm truy nhập trong 10s và có thông báo lỗi hiển thị

Kết luận:

Modules này rất là hiệu quả trong việc chống đỡ DDOS dựa trên Request của các cuộc tấn công. Tính năng của nó khá lãng phí băng thông trong việc kiểm soát so sánh IP trong bảng băm nếu có nhiều yêu cầu gửi tới. Nếu mạng của bạn không có các thiết bị phần cứng mạnh thì đây là giải pháp khá hiệu quả ngăn chặn các cuộc tấn công Dos và DDOS.

Thanks for you!

http://anninhmang.net

 

Lượt xem (1677)

About Nguyễn Thanh Sơn

Nguyễn Thanh Sơn
Network Security, Web Design, Computer Science

Xem thêm

mohinh-juniper

Cấu hình mô hình mạng thực tế với thiết bị Juniper

  Tiếp tục với các bài viết cơ bản trên thiết bị Juniper, hôm nay …

Để lại bình luận:

Loading Facebook Comments ...

One comment

  1. Bài viết rất hữu ích cho ai đam mê bảo mật

Leave a Reply

Your email address will not be published. Required fields are marked *