CentOS 7 Apache 2.4 에서 mod_evasive 로 DoS 공격 차단
페이지 정보
본문
아파치 서버를 운영하다 보면,
악의적인 방법으로 특정 url 을 지속적으로 호출하는 경우를 많이 보게 된다.
서버의 불필요한 트래픽을 유발하기도 하고, DoS 공격처럼 보이기도 한다.
이 경우 mod_evasive 모듈로 차단해 버리는 방법을 서술한다.
일단, 검색을 하다 보면, mod_dosevasive 와 mod_evasive 라는 용어가 혼재되어 사용되는 듯 하다.
종합해 보자면, Mod_dosevasive 가 이름이고, 실제 모듈 파일은 mod_evasive 를 사용하는 것으로 보인다.
....
mod_evasive 를 사용해 보려고 설치를 해 보았으나,
결론은.. 잘 안된다. 동작을 하지 않는 것 같다.
이유를 찾으려고, 고군분투 했으나, 찾을 수가 없다.
KeepAlive 설정과 관계가 있다고 한다.
https://www.phpschool.com/gnuboard4/bbs/board.php?bo_table=tipntech&wr_id=59118
ㅁ iptables
그냥 iptables 로 막아버리는 것이 더 낫다고도 한다.
http://faq.hostway.co.kr/Linux_WEB/7053
iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 1 --hitcount 10 --name HTTP -j DROP
해석) 같은 IP가 HTTP서비스에 1초동안 tcp 80포트로 10회 이상 접속하는 경우 DROP 합니다.
ㅁ firewalld
CentOS 7 에서는 firewalld 가 기본으로 설치가 되어 있다.
# firewall-cmd --permanent --direct --add-passthrough ipv4 -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 -j DROP
# firewall-cmd --reload
해석) 같은 ip 에서의 접속이 30개가 넘으면 drop 하라.
여기서 추가한 룰은 /etc/firewall/direct.xml 파일에 저장이 된다.
xml 파일을 직접 수정하여서 추가하는 것도 가능하다.
참고
https://tocup.net/xe/tech/63390
http://blog.naver.com/PostView.nhn?blogId=colt357&logNo=220912588449
악의적인 방법으로 특정 url 을 지속적으로 호출하는 경우를 많이 보게 된다.
서버의 불필요한 트래픽을 유발하기도 하고, DoS 공격처럼 보이기도 한다.
이 경우 mod_evasive 모듈로 차단해 버리는 방법을 서술한다.
일단, 검색을 하다 보면, mod_dosevasive 와 mod_evasive 라는 용어가 혼재되어 사용되는 듯 하다.
종합해 보자면, Mod_dosevasive 가 이름이고, 실제 모듈 파일은 mod_evasive 를 사용하는 것으로 보인다.
....
mod_evasive 를 사용해 보려고 설치를 해 보았으나,
결론은.. 잘 안된다. 동작을 하지 않는 것 같다.
이유를 찾으려고, 고군분투 했으나, 찾을 수가 없다.
KeepAlive 설정과 관계가 있다고 한다.
https://www.phpschool.com/gnuboard4/bbs/board.php?bo_table=tipntech&wr_id=59118
ㅁ iptables
그냥 iptables 로 막아버리는 것이 더 낫다고도 한다.
http://faq.hostway.co.kr/Linux_WEB/7053
iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 1 --hitcount 10 --name HTTP -j DROP
해석) 같은 IP가 HTTP서비스에 1초동안 tcp 80포트로 10회 이상 접속하는 경우 DROP 합니다.
ㅁ firewalld
CentOS 7 에서는 firewalld 가 기본으로 설치가 되어 있다.
# firewall-cmd --permanent --direct --add-passthrough ipv4 -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 -j DROP
# firewall-cmd --reload
해석) 같은 ip 에서의 접속이 30개가 넘으면 drop 하라.
여기서 추가한 룰은 /etc/firewall/direct.xml 파일에 저장이 된다.
xml 파일을 직접 수정하여서 추가하는 것도 가능하다.
참고
https://tocup.net/xe/tech/63390
http://blog.naver.com/PostView.nhn?blogId=colt357&logNo=220912588449
추천0
댓글목록
등록된 댓글이 없습니다.
3
1
공공데이터포털 OpenAPI
