Mod_evasive Apache ddos saldırılarını önlemek - Webmaster Forumu

Ni-Osman · #1 (**permalink**) 11-01-2007, 18:17:36

Apache ddos saldırılarını önlemek için Mod_evasive kurulumu

APF ile ortak çalışabilen bir firewall olan evasive genel olarak hatta artık genel değil direk olarak zaman istek kavramı ile çalışır ayarlanması basit bir uygulama örnek kişi 10 sn de 50 link'e tıklarsa APF onu banlayıverir 8)

Kuruluma geçelim

Alıntı:

wget http://www.ni.net.tr/dosyalar/mod_evasive_1.10.1.tar.gz
tar -zxvf mod_evasive_1.10.1.tar.gz
cd mod_evasive*
/usr/local/apache/bin/apxs -cia mod_evasive.c

bu apache 1.3.xx versiyonları için birde apache 2 için yazıyorum

Alıntı:

wget http://www.ni.net.tr/dosyalar/mod_evasive_1.10.1.tar.gz
tar -zxvf mod_evasive_1.10.1.tar.gz
cd mod_evasive*
/usr/sbin/apxs -cia mod_evasive20.c

kurulumu böylece tamamladık sanmayın daha bitmedi şimdi httpd.conf dosyamıza ayar komutlarını ekleyelim...

httpd.conf'u bir şekilde açın nano pico vim ne kullanıyorsanız ve arama yaparak

AddModule mod_evasive.c

kısmını bulun altına ekleyin...

Alıntı:

<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 1
DOSSiteCount 25
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 600
</IfModule>

biraz ayarlardan bahsedelim buradaki değerler neler sırayla yazıyorum

DOSHashTableSize : Kayıtların kontrolü daha seyrek yada daha sık yapmak

DOSPageCount : DOSPageINterval komutuna verilen değer aslında bir zaman olacak DOSPageINterval üzerindeki zaman içinde ne kadar tıklama yapılacağını gösterir.. (Ör DOSPageINterval 5 ise bu 5sn demek DOSPageCount da 10 ise buradan şu sonuç çıkar 5 sn de 10 linke basan banlanır...)

DOSSiteCount : Buda yukarıdaki gibi DOSSiteInterval üzerine verilecek değerin zamanına bağlı olarak DOSSiteInterval üzerine girilen zaman kaydına göre sayfadan çekilebilecek resim ve benzeri css java dosyalarını limitliyen bölümdür. (Ör: DOSSiteInterval 10 ise DOSSiteCount 100 ise 10sn de 100 resim çekilebilir demek... aşılırsa 101 olursa o kişi uzaklaştırılır.)

DOSPageInterval : DOSPageCount üzerinde anlattım DOSPageCount da yazılacak sınır değerinin zaman değeri buraya yazılır.

DOSSiteInterval : Bunuda DOSSiteCount bölümünde anlatmış olduk buda objelerin DOSSiteCount için verilen sınırın nekadar zamanda olduğunu gösterir.

DOSBlockingPeriod : Bu ayarlamalarda henüz APF kullanmadık APF yoksa bu bölümde yer alan değer sn cinsinden bu kuralları çiğneyen kişileri sayfadan uzaklaştırma süresidir kuralları aşanlar DOSBlockingPeriod 1000 ise mesela.. 1000 sn boyunca sayfada 403 hata kodu alacaklar..

Belli başlı ayarları gösterdim size arkadaşlar şimdi gelin bu güzel yazılımımızı apf ile ortak çalıştıralım her şeyden önce bir apf kurmanız gerek 8)

önce konsola visudo yazın hemen karşınıza pico veya nano ile açılmış bir dosya çıkacak en alt kısmına

Alıntı:

nobody server. = NOPASSWD: /usr/local/sbin/apf -d *

yukarıda alıntı şeklinde yazılan kodları kopyalayın ama nobady den sonra server. (server nokta) olan kısım sizin hostname'niz ile değişmeli hostname'niz nedir bilmiyorsanız visudo ya girmeden önce konsola hostname yazın o size söyler hostname'nizin sadece ilk kısmını alın mesela hostname server.ni.net.tr ise sadece server. olacak...

kaydet ve çık yaparak güzelce kaydedin tekrar httpd.conf u açarak <IfModule mod_evasive.c> başlıklı eklenilen evasive ayar bölümüne gelin ifmodüle kısmını bozmadan altına

Alıntı:

DOSSystemCommand "sudo /usr/local/sbin/apf -d %s"

yukarıda yazılanları kopyalayın..

görüntüsü aynen alt kısımdaki gibi olmalı

Alıntı:

<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 1
DOSSiteCount 25
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 600
DOSSystemCommand "sudo /usr/local/sbin/apf -d %s"
</IfModule>

kaydedin ve çıkın daha sonra apache'yi yeniden başlatın ki ayarlar aktif hale gelsin 8) artık çeşitli zamanlarda kuralları geçen kişileri apf otomatik olarak banlayacaktır...

kimler kuralları geçiyor acaba? merak ediyorsanız

Alıntı:

cd /tmp
ls -la dos*

komutları ile görebilirsiniz arada sırada

rm -rf /tmp/dos*

şeklinde tmp dizininizi temizlerseniz iyi olur...

Mutlu Günler..

emucu · #2 (**permalink**) 24-05-2007, 14:13:54

bunu geri nasıl kaldırırız yada ideal ayar nedir :S

millet sitesine giremiyor şap banlıyo

mr.lonely · #3 (**permalink**) 05-06-2007, 00:54:45

Merhabalar arkadaşa katılıyorum önerdiğiniz bir ince ayarı yokmudur şunun . Deneme yanılma ile ilerlemeye çalışıyorum başardım belkide ama bu seferde güvenliği düşürmek istemiyorum yani gerçekten bir saldırın olabilecek değerlerine göre ayarlanmışı nedir sizce.. teşekkürler..

Netlojik · #4 (**permalink**) 25-06-2007, 15:01:43

Mod_evasive malesef verimli değil hocam.. bunu birde deneyin

sorunsuz çalışıyor.

Yükleme

Kod:

wget http://www.inetbase.com/scripts/ddos/install.sh

Kod:

sh install.sh

Kaldırma

Kod:

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos

Kod:

sh uninstall.ddos

Kod:

pico /usr/local/ddos/ddos.conf

yaparak config i editleyebilirsiniz. Özellikleri

Alıntı:

APF_BAN=0 bu özellik 1 ise apf ile banlıyo 0 ise iptables ile

NO_OF_CONNECTIONS=150 bir ip den kaç bağlantı olunca banlıyo

BAN_PERIOD=600 bu değer 10 dakika yapıyo yani on dakikada içinde 150 bağlantı kuranı atıyo

EMAIL_TO=mailadresiniz@falanfilandomain.com buraya mail adresimiz geliyor

iptables in banlamasını sağlarsanız daha iyi bence

Yalnız scriptin sade hali biraz dandirik yani 80. gibi sayılarıda engelliyor böyle olunca ip adresinde bu rakamlar geçen yinede siteye giremiyor.
bunu engellemek için

Kod:

netstat -tn --inet 2> /dev/null| grep ":80" | awk '/tcp[ ]*[0-9]+[ ]*[0-9]+[ ]+[^ ]+[ ]*[^ ]*/ { print $5; }' | cut -d":" -f1 | sort | uniq -c | sort -n

banlı ip adreslerini boşatmak

Kod:

iptables -F

OGtr · #5 (**permalink**) 13-10-2007, 23:25:59

Alıntı:

Netlojik´isimli üyeden Alıntı

Mod_evasive malesef verimli değil hocam.. bunu birde deneyin

sorunsuz çalışıyor.

Yalnız scriptin sade hali biraz dandirik yani 80. gibi sayılarıda engelliyor böyle olunca ip adresinde bu rakamlar geçen yinede siteye giremiyor.
bunu engellemek için

Kod:

netstat -tn --inet 2> /dev/null| grep ":80" | awk '/tcp[ ]*[0-9]+[ ]*[0-9]+[ ]+[^ ]+[ ]*[^ ]*/ { print $5; }' | cut -d":" -f1 | sort | uniq -c | sort -n

banlı ip adreslerini boşatmak

Kod:

iptables -F

Bende bunu kullanıyorum ama bazen üyeleri bannlıyor.
çok sık olarak bu komutu kullanıyorum

Kod:

iptables -F

iBiL · #6 (**permalink**) 03-11-2007, 12:57:22

Osman abi ls -la dos* komutu ile banlananları görebilirsiniz demişsin ama.

ls -la dos * arada boşluk olması gerekiyor.Düzeltirsen iyi olur.

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder
Stil
Normal Hybrid-Şeklinde gösterime geç Ağaç şeklinde gösterime geç

Benzer Konular
Konu	Konuyu Başlatan	Forum	Cevaplar	Son Mesaj
Dağıtık Apache Saldırısı	Caner	Sunucu Güvenliği	15	17-01-2008 02:23:38
DDos Önlemek için Güzel Bir Eklenti	DigitalsHost	Linux	3	28-07-2007 09:16:41
Apache sorunu	nexus	Linux	2	16-03-2007 22:37:16
Apache hızlandırmak...	Madworm	Linux	2	10-01-2007 00:17:33

Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)