본문으로 건너뛰기

Apache 서버에서 DDoS 방어를 위한 mod_evasive 설정 방법은 무엇인가요?

💡 요약 정리

  • mod_evasive는 HTTP DoS/DDoS 공격으로부터 아파치를 보호하는 모듈입니다
  • IP별 동적 해시테이블로 초당 요청 횟수를 모니터링하여 차단합니다
  • wget으로 다운로드하여 apxs로 Apache 모듈로 설치합니다
  • httpd.conf에 DOSPageCount, DOSSiteCount, DOSBlockingPeriod 등 지시자를 설정합니다
  • perl test.pl로 정상 작동 여부를 테스트할 수 있습니다

1. mod_evasive이란 무엇인가?

이것은 HTTP Dos 또는 DDos 스택 또는 저돌적인 공격으로부터 아파치를 보호하는데 있습니다.

이것은 ipchains, 방화벽, 라우터등으로 쉽게 구성될 수 있도록 디자인 되었습니다.

탐지는 주소, URI의 IP 내부 동적 해쉬테이블을 생성함으로 수행되고, 각 아이피별로 거부됩니다.

  • 초당 몇번 이상의 같은 페이지를 요청하는 경우
  • 초당 같은 자식노드를 동시에 50번 이상 생성하는 경우
  • 일시적으로 블러킹되는 동안 어떠한 요청을 생성하는 경우

2. mod_evasive의 설치

# wget http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz

# 압축해제
# tar xvzf mod_evasive_1.10.1.tar.gz

# 디렉토리 이동
# cd mod_evasive

# 모듈 추가
# /usr/local/apache/bin/apxs -iac mod_evasive.c -> Apache.1.x
# /usr/local/apache/bin/apxs -iac mod_evasive20.c -> Apache.2.x

# 환경설정
# vi /usr/local/apache/conf/httpd.conf

아파치 1.X와 2.X에서의 모듈명칭이 약간 차이가 있으므로 주의할 것!

아래에 해당하는 내용이 존재하는지 확인 한다. 없으면 추가.

LoadModule evasive_module modules/mod_evasive.so -> Apache.1.x

LoadModule evasive20_module modules/mod_evasive20.so -> Apache.2.x

DOSHashTableSize 3097
DOSPageCount 3
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 30
DOSEmailNotify webmaster@yoursite.com
DOSLogDir "/usr/local/apache/logs/mod_evasive.log"
DOSSystemCommand "su - someuser -c '/sbin/... %s ...'"

# 환경설정 검사
# apachectl configtest

# 재시작
# apachectl -k restart

3. 각 지시자에 대한 설명

DOSHashTableSize

각 자식 해쉬테이블 마다 탑레벨 노드의 수를 지정한다.

수치가 높으면 높을수록 더 많은 퍼포먼스가 나타나지만 테이블스페이스에 메모리를 남기게 된다

접속량이 많으면 이 수치를 높혀도 된다.

DOSPageCount

이것은 같은 페이지 또는 URI, 인터벌당 요청수에 대한 카운트 수이다.

지정된 값이 초과되면 클라이언트에 대한 IP 정보가 블러킹리스트에 추가된다.

DOSSiteCount

지정된 시간동안 같은 페이지를 지정된 수 보다 초과될경우 IP 정보가 블러킹리스트에 추가된다.

DOSPageInterval

페이지 카운트 시발점, 디폴트는 1초이다.

DOSSiteInterval

사이트 카운트 시발점, 디폴트는 역시 1초이다.

DOSBlockingPeriod

클라이언트가 블랙리스트에 추가되어 블러킹되는 총 시간.

이때 클라이언트는 403 (Forbidden) 에러를 출력하게 된다.

DOSEmailNotify

이 값이 지정되면, IP가 블러킹될때마다 지정된 이메일로 발동된다.

주의 : 메일러는 mod_dosevasive.c 에 정확하게 지정되야 한다. 디폴트는 "/bin/mail -t %s" 이다.

DOSLogDir

로그 파일 경로

DOSSystemCommand

이 값이 지정되면, 시스템은 아이피가 블러킹될때마다 명령행을 실행한다.

DOSWhitelist

차단에서 제외될 호스트

DOSWhitelist 127.0.0.1
DOSWhitelist 127.0.0.*

(와일드카드는() 필요하다면 최대 8진수(xxx...)까지 사용할 수 있다.)

4. 테스트하기

# perl test.pl <- 다운받은 파일 안에 포함되어 있다.

HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden
HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden

문제가 해결되지 않았나요?

궁금하신 사항은 언제든지 1:1 문의게시판으로 문의해 주세요.

문의 시 포함 정보:

  • 카페24 아이디
  • 서비스 ID: 서버호스팅 서비스 ID
  • 서버 OS: CentOS / Ubuntu 등
  • Apache 버전: httpd -v 명령 실행 결과
  • mod_evasive 로그: /usr/local/apache/logs/mod_evasive.log 내용
  • 문의 내용: mod_evasive 설치 및 설정 관련 문의 사항