Mod_evasive, не блокирующийся DoS-атаку с помощью ГЛАВНЫХ запросов
Используя Apache/2.2.15 на RHEL6 с конфигурацией mod_evasive:
DOSHashTableSize 3097
DOSPageCount 14
DOSPageInterval 2
DOSSiteCount 70
DOSSiteInterval 1
DOSBlockingPeriod 60
К сожалению, это не заблокировало это нападение, которое только прибыло из 1 IP:
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:53 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:53 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:53 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
Mod_evasive действительно работает, он блокирует некоторого дюйм/с в других случаях. Разве это не работает на ГЛАВНЫЕ запросы?
Править: Мой апач работает в режиме перед ветвлением. Из того, что я читал, mod_evasive имеет проблемы с ним.
Измените значение переменной на меньшее, действительно высокое значение 14.
DOSPageCount 3
Поскольку атака исходит из того же места, вы можете заблокировать IP-адрес.
sudo iptables -t raw -I PREROUTING -s 207.x.x.x/32 -j DROP
Или вы можете установить mod_security, настроить его и добавить «какой-то поддельный пользовательский агент» в файл bad_robots.data, и он будет встречен с запрещенным кодом 401.
ПРИМЕЧАНИЕ
DDoS-атаки предназначены для использования полосы пропускания а также ресурсы. Вы можете заблокировать IP-адрес, заблокировать его с помощью mod_evasive или отклонить их запросы с помощью 401. НИ ОДИН ИЗ ЭТИХ МЕТОДОВ НЕ ОСТАНОВИТ DDoS-атаки. DDoS-атаки продолжат использовать всю вашу пропускную способность, не отключая ваше устройство. Лучший способ - обратиться к своему интернет-провайдеру и попросить его заблокировать вредоносные IP-адреса или обратиться в службу защиты от DDoS-атак, такую как cloudflare. Никакие другие действия не остановят DDoS.
Если вы постоянно находитесь под действием DDoS-атак, воспользуйтесь службой защиты от DDoS-атак. НИ ОДИН из упомянутых выше методов не остановит DDoS.