如何在Apache中抵御暴力破解和DDoS攻击

在开始学习本教程之前，您应该具备以下条件：

1、CentOS 7 64位Droplet（也适用于CentOS 6）。

2、在Droplet上运行的Apache Web服务器。

第1步 - 安装mod_evasive

在本节中，我们将安装mod_evasive所需的软件包，并最终安装mod_evasive。

首先，我们需要在服务器上安装EPEL（Enterprise Linux的额外软件包）yum存储库。EPEL是一个Fedora负责为Enterprise Linux创建，维护和管理一套高质量的开源附加软件包。运行以下命令以在服务器上安装和启用EPEL存储库：

在CentOS 7上：

sudo rpm -ivh http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm

在CentOS 6上：

sudo rpm -ivh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

让我们使用以下方法验证EPEL repo是否已启用：

sudo yum repolist

如果启用，您将在输出中看到以下repo：

epel/x86_64 Extra Packages for Enterprise Linux 7 - x86_64

现在，让我们保护EPEL采用yum的插件基础包protectbase。

sudo yum install yum-plugin-protectbase.noarch -y

protectbase插件的目的是保护某些yum存储库免受其他存储库的更新。即使未受保护的存储库具有更高版本，受保护存储库中的包也不会被非受保护存储库中的包更新或覆盖。

现在我们准备安装mod_evasive模块了。运行以下命令进行安装：

sudo yum install mod_evasive -y

第2步 - 验证安装

现在已经安装了mod_evasive，让我们验证是否已经安装了配置文件并且正在加载模块。

在安装期间，/etc/httpd/conf.d/mod_evasive.conf添加了mod_evasive配置文件。要验证此运行：

sudo ls -al /etc/httpd/conf.d/mod_evasive.conf

输出应类似于：

-rw-r--r-- 1 root root 3473 Jul 21 01:41 /etc/httpd/conf.d/mod_evasive.conf

默认情况下，以下LoadModule行将添加到配置文件的顶部mod_evasive.conf。打开文件并添加该行（如果该行尚不存在）。该行告诉Apache Web服务器加载并使用mod_evasive模块。

在CentOS 7上，该行应如下所示：

/etc/httpd/conf.d/mod_evasive.conf

LoadModule evasive20_module modules/mod_evasive24.so

在CentOS 6上，该行应如下：

/etc/httpd/conf.d/mod_evasive.conf

LoadModule evasive20_module modules/mod_evasive20.so

让我们列出为Apache Web服务器加载的模块，并查找mod_evasive：

sudo httpd -M | grep evasive

输出应显示：

evasive20_module (shared)

第3步 - 配置mod_evasive

现在安装已完成并经过验证，让我们看一下模块的配置。mod_evasive可以通过mod_evasive.conf配置文件轻松定制。我们将在本教程中讨论一些配置参数。有关所有参数的信息，请参阅配置文件 - 它包含每个参数的说明。

您需要更改的配置选项之一是DOSEmailNotify。这是一个非常有用的指令。如果设置了此值，则只要IP地址被列入黑名单，就会将电子邮件发送到指定的电子邮件地址。电子邮件正文将显示mod_evasive HTTP Blacklisted111.111.111.111

例如，如果要发送mod_evasive警报，请发送sammy@ example.com，编辑该文件：

sudo nano /etc/httpd/conf.d/mod_evasive.conf

DOSEmailNotify通过删除该行的#前面取消注释该行，并将电子邮件地址更改为您的：

/etc/httpd/conf.d/mod_evasive.conf

DOSEmailNotify sammy@example.com

您可能想要设置的另一个参数是DOSWhitelist。使用此选项，可以将可信客户端的IP地址添加到白名单中，以确保它们永远不会被拒绝。白名单的目的是保护软件，脚本，本地搜索机器人或其他自动化工具不被拒绝从服务器请求大量数据。

要将IP地址列入白名单，例如111.111.111.111，请在配置文件中添加一个条目，如下所示：

/etc/httpd/conf.d/mod_evasive.conf

DOSWhitelist 111.111.111.111

如有必要，可以在最多3个八位字节的IP地址上使用通配符。

要将来自不同IP范围的多个IP地址列入白名单，您可以在配置文件中添加单独的DOSWhitelist行，如下所示：

/etc/httpd/conf.d/mod_evasive.conf

DOSWhitelist 111.111.111.111 DOSWhitelist 222.222.222.222

DOSPageCount并且DOSSiteCount建议将其他两个参数更改为不太激进的值，以避免客户端被不必要地阻塞。

DOSPageCount是IP地址对每页同一页面间隔（通常设置为1秒）的请求数的限制。超过该时间间隔的阈值后，客户端的IP地址将添加到阻止列表中。默认值设置为2相当低，您可以将其更改为更高的值，比如20，通过编辑以下/etc/httpd/conf.d/mod_evasive.conf：

/etc/httpd/conf.d/mod_evasive.conf

DOSPageCount 20

DOSSiteCount是每个站点间隔的IP地址对同一网站的请求总数的限制（默认为1秒）。要将其更改为更大的值，例如100秒：

/etc/httpd/conf.d/mod_evasive.conf

DOSSiteCount 100

您可以更改其他一些参数以获得更好的性能。

一个是DOSBlockingPeriod，如果客户端（IP地址）被添加到阻止列表，将被阻止的时间量（以秒为单位）。在此期间，来自客户端的所有后续请求将导致403（禁止）错误并且计时器被重置（默认为10秒）。

例如，如果要将阻塞时间增加到300秒：

/etc/httpd/conf.d/mod_evasive.conf

DOSBlockingPeriod 300

另一个是DOSLogDir指mod_evasive使用的临时目录。默认情况下，/tmp将用于锁定机制，如果您的系统对shell用户开放，则会打开一些安全问题。如果您拥有非特权shell用户，则需要创建一个只能写给Apache正在运行的用户（通常是apache）的目录，然后在mod_evasive.conf文件中设置此参数。

例如，要设置mod_evasive使用的目录，请使用以下命令/var/log/mod_evasive创建目录：

sudo mkdir /var/log/mod_evasive

然后将所有权设置为apache用户：

sudo chown -R apache:apache /var/log/mod_evasive

现在编辑mod_evasive配置并更改目录，如下所示：

/etc/httpd/conf.d/mod_evasive.conf

DOSLogDir "/var/log/mod_evasive"

另一个参数是DOSSystemCommand。如果设置了值，则只要IP地址被列入黑名单，就会执行指定的命令。使用此参数，您可以将mod_evasive与服务器上安装的防火墙或shell脚本集成，并阻止防火墙中mod_evasive列入黑名单的IP地址。

第4步 - 加载mod_evasive模块

一旦我们在配置文件中进行了更改，我们就需要重新启动Apache Web服务器才能使它们生效。运行以下命令以重新启动Apache。

在CentOS 7上：

sudo systemctl restart httpd.service

在CentOS6上：

sudo service httpd restart

注意：请注意，mod_evasive似乎与FrontPage Server Extensions冲突。您可能还需要检查Apache Web服务器设置以确保mod_evasive能够正常运行。建议的Apache调整具有非常高的值，MaxRequestsPerChild但不是无限制（值为零意味着无限制）并且KeepAlive启用了KeepAliveTimeout相当长的集合。

第5步 - 测试mod_evasive

让我们做一个简短的测试，看模块是否正常工作。我们将使用Perl脚本test.pl通过mod_evasive开发人员编写的。要执行脚本，我们需要首先perl使用以下命令在服务器上安装软件包：

sudo yum install -y perl

测试脚本与mod_evasive一起安装在以下位置：

/usr/share/doc/mod_evasive-1.10.1/test.pl

默认情况下，测试脚本连续100次从Apache Web服务器请求同一页面以触发mod_evasive。在上一节中，我们修改了mod_evasive以更加容忍每秒对同一页面的请求。我们需要将脚本连续更改为200个请求而不是100个，以确保我们触发所有mod_evasive的通知方法。

编辑/usr/share/doc/mod_evasive-1.10.1/test.pl：

sudo nano /usr/share/doc/mod_evasive-1.10.1/test.pl

找到以下行：

/usr/share/doc/mod_evasive-1.10.1/test.pl

for(0..100) {

用200替换100：

/usr/share/doc/mod_evasive-1.10.1/test.pl

for(0..200) {

保存并退出。

要执行脚本，请运行：

sudo perl /usr/share/doc/mod_evasive-1.10.1/test.pl

您应该看到类似于的输出：

HTTP/1.1 403 Forbidden HTTP/1.1 403 Forbidden HTTP/1.1 403 Forbidden HTTP/1.1 403 Forbidden HTTP/1.1 403 Forbidden ...

该脚本向您的Web服务器发出100个请求。403响应代码表示Web服务器拒绝访问。当IP地址被阻止时，mod_evasive也会记录到syslog。使用以下命令检查日志文件

sudo tailf /var/log/messages

它应该显示类似于的行：

Jul 29 00:11:18 servername mod_evasive[18290]: Blacklisting address 127.0.0.1: possible DoS attack.

指示IP地址被mod_evasive阻止。

如果您已将mod_evasive配置为在IP被阻止时发送电子邮件警报，则您的收件箱中将显示一封包含以下内容的电子邮件：

mod_evasive HTTP Blacklisted 127.0.0.1

结论

mod_evasive非常适合抵御单一服务器，脚本攻击以及分布式攻击。但是，只有服务器的总带宽和处理器容量才能处理和响应无效请求。因此，最好将此模块与服务器防火墙集成，以获得最大程度的保护。如果没有真正优秀的基础架构和防火墙，繁重的DDoS可能仍会让您脱机。如果攻击非常繁重且持久，您可能需要转向基于硬件的DDoS缓解解决方案。您可以阅读《DDoS反射放大攻击全球探测分析（上）》