MOD_EVASIVE - Bloqueio de DDOS attacks

Mod_evasive é um módulo de segurança do Apache que proporciona bloqueio de acessos em massa ou ataques de força bruta ao site. A intenção dele é bloquear e separar os acessos em massa a área, através de uma interface que guarda os acessos gerando uma blacklist dos acessos impedindo o acesso dos mesmos por um tempo configurável.

1. Se o IP do cliente existe na lista temporária de IPS.
2. Acessos simultâneos a páginas, configurando o tempo de acesso as páginas o default é de 1 segundo.
3. Número de requisições ao site como um todo.

A ideia é retornar o status code 403 - forbidden para os acessos após terem sido bloqueados. Após 10 segundos, período padrão de bloqueio, o cliente tem acesso proibido ao site.

A ativação do recurso é bem fácil. O mod_evasive funciona nas duas versões de Apache: 1.3 e 2.0.

Veja abaixo os passos de instalação:

# tar -xzf mod_evasive-1.4.3.tar.gz
# cd mod_evasive-1.4.3
# ./apxs -iac mod_evasive20.c
# /etc/init.d/httpd restart

Depois de instalado temos que fazer as seguintes configurações no httpd.conf:

DOSHashTableSize        3097
DOSPageCount            2
DOSSiteCount         50
DOSPageInterval         1
DOSSiteInterval         1
DOSBlockingPeriod        10
DOSHashTableSize #Esta diretiva define o número de nodes por processo filho na tabela de hash

Aumentar o número além do padrão pode melhorar o desempenho, mas consome mais memória para gravar dados, o padrão é 3097.

Creditos:Carlos Eugenio

att~~ krono

Sdds proteção para win

Sdds proteção para win

O mod_evasive é do Apache, pode ser utilizado no Windows.

Uma ressalva para o tutorial: o mod_evasive só protege contra ataques a porta do Apache. Não protege todo o servidor contra DoS ou DDoS.

Mod evasive e deflate são muitos bons para Apache.

O grande problema é que o apache, em sí, é muito fraco contra Floods HTTP.

Depois de diversos testes e mais de 200x servidores on-line em pesquisa, estamos

adicionando em Roadmap do OTpanel virar para Nginx/PHP-FPM. Sugiro que todos

façam isso quando começarem a sentir problema de DDoS ou quando tiverem

mais de 50x usuários simultâneos no site.

O Nginx como proxy de requisições tem evasive e deflate na versão default e segundo

meus testes aqui na empresa aguenta 25x mais requisições do que o apache. Usando o mesmo

hardware e mesmo tuning de ambiente

Mod evasive e deflate são muitos bons para Apache.

 

O grande problema é que o apache, em sí, é muito fraco contra Floods HTTP.

 

Depois de diversos testes e mais de 200x servidores on-line em pesquisa, estamos

adicionando em Roadmap do OTpanel virar para Nginx/PHP-FPM. Sugiro que todos

façam isso quando começarem a sentir problema de DDoS ou quando tiverem

mais de 50x usuários simultâneos no site.

 

O Nginx como proxy de requisições tem evasive e deflate na versão default e segundo

meus testes aqui na empresa aguenta 25x mais requisições do que o apache. Usando o mesmo

hardware e mesmo tuning de ambiente

Nginx/php-fpm + Varnish é a melhor solução para o http/https, desde que o servidor da pessoa tenha recursos para isso. Consomem muita RAM. Mas o ideal é que a proteção seja feita a nível de servidor ou superior, não no software de cada porta.

Concordo nightz,

Segurança se faz em todas as camadas, é um mantra de software =)

Minhas pesquisas internas mostram que Nginx+php-fpm consomem menos

recursos que o apache, por isso estamos estudando implementar

no OTpanel.

Em relação ao varnish, usamos em produção por um tempo e não gostei

prefiro usar CDN hoje e servidores de cache MEMCACHE. Os falsos positivos

do vanish e a dificuldade de ter que ficar editando policies foram os responsáveis

pelo banimento dele da nossa produção

Deixo claro que adorei seu tutorial e acho que todos devem iniciar

com LAMP mesmo para depois estudar performance e tuning

e assim garantir maior estabilidade no projeto.

Concordo nightz,

 

Segurança se faz em todas as camadas, é um mantra de software =)

 

Minhas pesquisas internas mostram que Nginx+php-fpm consomem menos

recursos que o apache, por isso estamos estudando implementar

no OTpanel.

 

Em relação ao varnish, usamos em produção por um tempo e não gostei

prefiro usar CDN hoje e servidores de cache MEMCACHE. Os falsos positivos

do vanish e a dificuldade de ter que ficar editando policies foram os responsáveis

pelo banimento dele da nossa produção

 

Deixo claro que adorei seu tutorial e acho que todos devem iniciar

com LAMP mesmo para depois estudar performance e tuning

e assim garantir maior estabilidade no projeto.

Nginx consome menos processador, mas consome mais RAM. Isso é um problema para OTServer, dependendo das configs do servidor e do mapa. Por isso não sei se é uma boa. Não posso afirmar com certeza porque não testei.

O varnish é uma solução muito robusta, estou fazendo testes com ele e já consigo segurar 2.000 conexões POR SEGUNDO com 6GB de RAM e 2 cores sendo utilizados. Mas tudo depende do objetivo.

Obrigado! O OT Panel é muito bacana também, pena que é algo fechado.

Opa, bacana. Quando fizer os testes e quiser trocar uma figurinha só me mandar

PM pra gente conversar.

Varnish é ótimo sim, muito performático. Nosso problema foram as policies de cache,

falta de suporte de alguns sistemas usados e tudo mais. Essa marca de 2k requests

o Nginx como proxy na frente e até como load balancer faz legal, eu acho que o

varnish acaba complicando a médio/longo prazo pois muitos "bugs" surgem

por erros de cache nas policies dele.

Testa Cloud flare + Nginx Proxy + PHP-FPM, resultados muito parecidos

e sem nenhum stress de configuração retórica.

Sobre o OTpanel, ele é um produto comercial da empresa sou um dos

desenvolvedores de lá. Temos um sonho um dia de, quem sabe,

portar ele pra Windows e deixar como opensource mas sabemos

que a lei de software no Brasil não funciona direito então temos

receio disso no momento.