Mod_evasive Apache ddos saldırılarını önlemek

Apache ddos saldırılarını önlemek için Mod_evasive kurulumu

APF ile ortak çalışabilen bir firewall olan evasive genel olarak hatta artık genel değil direk olarak zaman istek kavramı ile çalışır ayarlanması basit bir uygulama örnek kişi 10 sn de 50 link'e tıklarsa APF onu banlayıverir 8)

Kuruluma geçelim

bu apache 1.3.xx versiyonları için birde apache 2 için yazıyorum

kurulumu böylece tamamladık sanmayın daha bitmedi şimdi httpd.conf dosyamıza ayar komutlarını ekleyelim...

httpd.conf'u bir şekilde açın nano pico vim ne kullanıyorsanız ve arama yaparak

AddModule mod_evasive.c

kısmını bulun altına ekleyin...

biraz ayarlardan bahsedelim buradaki değerler neler sırayla yazıyorum

DOSHashTableSize : Kayıtların kontrolü daha seyrek yada daha sık yapmak

DOSPageCount : DOSPageINterval komutuna verilen değer aslında bir zaman olacak DOSPageINterval üzerindeki zaman içinde ne kadar tıklama yapılacağını gösterir.. (Ör DOSPageINterval 5 ise bu 5sn demek DOSPageCount da 10 ise buradan şu sonuç çıkar 5 sn de 10 linke basan banlanır...)

DOSSiteCount : Buda yukarıdaki gibi DOSSiteInterval üzerine verilecek değerin zamanına bağlı olarak DOSSiteInterval üzerine girilen zaman kaydına göre sayfadan çekilebilecek resim ve benzeri css java dosyalarını limitliyen bölümdür. (Ör: DOSSiteInterval 10 ise DOSSiteCount 100 ise 10sn de 100 resim çekilebilir demek... aşılırsa 101 olursa o kişi uzaklaştırılır.)

DOSPageInterval : DOSPageCount üzerinde anlattım DOSPageCount da yazılacak sınır değerinin zaman değeri buraya yazılır.

DOSSiteInterval : Bunuda DOSSiteCount bölümünde anlatmış olduk buda objelerin DOSSiteCount için verilen sınırın nekadar zamanda olduğunu gösterir.

DOSBlockingPeriod : Bu ayarlamalarda henüz APF kullanmadık APF yoksa bu bölümde yer alan değer sn cinsinden bu kuralları çiğneyen kişileri sayfadan uzaklaştırma süresidir kuralları aşanlar DOSBlockingPeriod 1000 ise mesela.. 1000 sn boyunca sayfada 403 hata kodu alacaklar..

Belli başlı ayarları gösterdim size arkadaşlar şimdi gelin bu güzel yazılımımızı apf ile ortak çalıştıralım her şeyden önce bir apf kurmanız gerek 8)

önce konsola visudo yazın hemen karşınıza pico veya nano ile açılmış bir dosya çıkacak en alt kısmına

yukarıda alıntı şeklinde yazılan kodları kopyalayın ama nobady den sonra server. (server nokta) olan kısım sizin hostname'niz ile değişmeli hostname'niz nedir bilmiyorsanız visudo ya girmeden önce konsola hostname yazın o size söyler hostname'nizin sadece ilk kısmını alın mesela hostname server.ni.net.tr ise sadece server. olacak...

kaydet ve çık yaparak güzelce kaydedin tekrar httpd.conf u açarak <IfModule mod_evasive.c> başlıklı eklenilen evasive ayar bölümüne gelin ifmodüle kısmını bozmadan altına

yukarıda yazılanları kopyalayın..

görüntüsü aynen alt kısımdaki gibi olmalı

kaydedin ve çıkın daha sonra apache'yi yeniden başlatın ki ayarlar aktif hale gelsin 8) artık çeşitli zamanlarda kuralları geçen kişileri apf otomatik olarak banlayacaktır...

kimler kuralları geçiyor acaba? merak ediyorsanız

komutları ile görebilirsiniz arada sırada

rm -rf /tmp/dos*

şeklinde tmp dizininizi temizlerseniz iyi olur...

Mutlu Günler..

webmaster arkadaşlar için güzel ve açıklayıcı bir anlatım olmuş

aslında eski linuxcular bilirler biz eskiden dosevasive kullanırdık ama bilinen bu komutlardan çok daha fazlası var çoğu insan ezbere iş yaptığından pek bilmez bu mod için sorunları olanlar yazabilirler.. APF kurmadan 2. şekilde ayar yapmayın...

aşırı trafik altında bu modül de sunucunun kitlenmesine neden olacaktır

bu tarz atak vs sorunları sunucu üzerinden değil, sunucunun önünde duracak başka bir sistem üzerinde tespit edip engellemek en doğrusudur

bu modül yüzünden kitlenmez sunucu httpd çok süper bir saldırı anında kendisi durar bu modül httpd tabanlı oldugundan çalışmaz...

bu ayarlar aşırı hassas osman abi
anında 403 hatası almaya başladım ben bunlarla eski sunucumda

bu şu demek osman 1 sn de 25 obje ve 1 sn de 1 istek yapılabilir 1 sn de 2 tık yapılamaz söyle dene...

daha iyi olacak göreceksin... şimdi 10sn de o tık ve 10sn de 250 obje çelilebilir şu 250 obje kısmını biraz daha yükselt hatta...

bu modül analizi bellekte değil sunucunun disk'inde tutuyor, her işlemde disk okunuyor yazılıyor, trafik artmaya başladığı anda disk aynı oranda artan bir yük altında kalıyor bir süre sonra disk de iflas edip duruyor, saldırı yada atağı aynı sunucu üzerinden çözmek güvenlik anlamında tamamen mantıksız bir teknik, diğer verdiğin örnek için de geçerli, bunun için de...

işin bu kısmı dogru ama disk yük oranına bakarsan zaten disk 24 saat kesintisiz çalışmıyormu mantıksız geldi 8)

csf kullananlar visdo ve httpd üzerinde /usr/sbin/csf kullanabilirler...