Header
Apache - mod_evasive contro gli attacchi DoS
in: Sicurezza  So/Code: Generico Data: 04/09/2015
Ora: 15.50:52
Articolo visualizzato: 3463 volte

mod_evasive è un modulo di Apache per la protezione dagli attacchi DoS, DDoS e brute force. In sostanza questo modulo scarta tutte le richieste che non soddisfano i requisiti impostati durante la configurazione evitando sovraccarichi dovuti agli attacchi.

Tipologie di attacchi comuni

  • DoS ( Denial of Service )
    Consiste nel saturare le risorse di un Web Server, un server FTP o altro fino al rendere impossibile l'accesso. Questo attacco è generato solitamente da poche macchine. 
  • DDoS ( Distributed Denial of Service )
    E' un attacco DoS ma generato da molte più macchine. In genere di DDoS si parla di un attacco largamente distribuito generato anche da computer zombie, cioè da computer infetti i quali partecipano all'attacco.
  • Brute Force
    Consiste nell'effettuare un numero elevato di tentativi ai fini di scoprire anche un accesso. Come ad esempio forzare una pagina di login provando tutte le combinazioni possibili, oppure utilizzando dei dizionari con degli accessi comuni.

mod_evasive
Il modulo funziona tramite il sistema delle liste, quindi avremo: 

White List
dove è possibile specificare gli indirizzi IP ai quali è concesso superare la configurazione che previene gli attacchi del modulo. In teoria qui vanno aggiunti unicamente gli IP sicuri, dai quali non ci aspettiamo un attacco.
Black List
questa lista viene popolata automaticamente dal modulo nel caso in cui un indirizzo IP non rispetti la configurazione che previene gli attacchi. 


Installazione

Per installare il modulo è necessario lanciare il comando:

Debian / Ubuntu:
apt-get install apache2-utils

CentOS / Fedora:
yum install httpd-devel

Ma ovviamente è possibile anche installarlo manualmente scaricando il tar.gz

Successivamente è necessario abilitare il modulo: 

/etc/apache2/apache2.conf (Debian / Ubuntu)
# Include module configuration:
Include mods-enabled/*.load
Include mods-enabled/*.conf


/etc/httpd/conf/httpd.conf (CentOS / Fedora)
LoadModule evasive20_module /usr/lib/httpd/modules/mod_evasive20.so

Dopodichè è necessario configurare il modulo direttamente sotto l'abilitazione:

<IfModule mod_evasive20.c>
#optional directive (default value equals to 1024)
DOSHashTableSize 1024

#obligatory directives
DOSPageCount 10
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 60
DOSEmailNotify <someone@somewhere.com>
</IfModule>

Fatto ciò riavviamo apache per rendere effettive le modifiche alla configurazione.

Configurazione
Analizziamo nel dettaglio le varie voci: 

DOSHashTableSize
Di default a 1024, da incrementare nel caso in cui il server risulti molto trafficato. Definisce il numero di nodi per ogni tabella hash figlia.

DOSPageCount
Numero di richieste alla stessa pagina per il DOSPageInterval.

DOSSiteCount
Numero di richieste globali per il DOSPageInterval.

DOSPageInterval
Intervallo di tempo in secondi. ( default a 1 )

DOSBlockingPeriod
Intervallo in secondi nel quale le richieste provenienti dall'IP in blackliste verranno ignorate. ( con un 403 ). Questo intervallo si resetta a ogni richiesta, anche in risposta 403.

DOSEmailNotify
Email di notifica del blocco.

DOSLogDir
Di default "/temp".

DOSWhitelist

Definisce la WhiteList, gli ip che la compongono non entreranno mai in BlackList. Questa è definita direttamente nell'apache.conf

(/etc/apache2/apache2.conf)

DOSWhitelist 127.0.0.1
DOSWhitelist 127.0.0.*

 

Spero di essere stato esaustivo, commentate!

Commenti Commenti (1) | User Autore: Guido Camerlingo (Guiz)
Tags: mod_evasive apache protezione attacchi dos ddos brute force web server protection attack





Articoli Correlati
Apache - mod_evasive contro gli attacchi DoS
Apache - mod_evasive against DoS attacks
Apache - Impostazioni Directory e VirtualHost
Apache - Integrated Windows Authentication ( IWA )
Ocse - I cyber-attacchi sono la tempesta perfetta

Commenti
Da: Mr. Q Ora:17.54:04 Data: 15/10/2015

Ha il difetto di bloccare i PDF scaricati in modalità partial-content , funzionalità che permette di scaricare alcune pagine per volta senza dover scaricare l'intero pdf.

l'unico modo che ho trovato è disattivare il partial-content per i pdf ma è una grossa limitazione.

<IfModule mod_headers.c>
<Files *.pdf>
Header set Accept-Ranges none
</Files>
</IfModule>


Scrivi Commento
Codice Verifica

Commento massimo 5000 caratteri.(Tutti i campi contrassegnati da * sono obbligatori).

   

Ricerca

Glossario Naviga nel nostro glossario!
Scopri il gergo dei Geek!


 ULTIMI ARTICOLI

774 giorni fa
995 giorni fa

 [EN] Last Articles

1293 giorni fa
 Siti Amici

Visita il Blog Roll
Contattaci! Diventa nostro amico!



 Hot Downloads


 Categorie

85
163
58
87
13
2
20
36
1
2
5
5
128
7
24
15
62
45

 Code

11
11
3
6
2
24
1
7

 Games

19
45
13

 GUIDE


 Novità Downloads

75
69
3882

 Tags Cloud

8 alternative Measurement 8.1 adsl 2010 test soli driver aggiornamento betelgeuse vendor rilascio id microsoft betelgeuse Network



 CopyRight

Valid XHTML 1.0 Transitional CSS Valido! [Valid RSS] Creative Commons License


Geek-Blog by Flavio Mandato, Giuseppe Vaccaro, Guido Camerlingo, Stefano Natale, Domenico Cavallo is licensed under a Creative Commons Attribuzione-Non opere derivate 2.5 Italia License.
Based on a work at www.geek-blog.it.
Permissions beyond the scope of this license may be available at http://www.geek-blog.it/

Disclaimer - Responsabilità - Pagina generata in 0.040 secondi. Geek-Blog.it