mod_evasive通过监控请求频率防御DoS攻击,安装后配置DOSPageCount、DOSSiteCount等参数控制访问阈值,设置DOSBlockingPeriod封锁超限IP,结合DOSWhitelist避免误封,日志记录至/var/log/httpd,可选DOSBlockingExec联动iptables封禁,需合理配置防止误判,适用于抵御小规模CC攻击。
mod_evasive 是 Apache 的一个模块,用于帮助防止 DoS(拒绝服务)和 DDoS(分布式拒绝服务)攻击。它通过监控客户端请求频率,在检测到异常行为时自动阻止 IP 地址,从而减轻服务器负载并保护网站可用性。以下是配置 mod_evasive 的具体步骤。
在大多数 Linux 发行版中,mod_evasive 不是默认启用的,需要手动安装。
yum install -y epel-release
yum install -y mod_evasive
apt update
apt install -y libapache2-mod-evasive
安装完成后,Apache 会自动加载该模块,无需手动添加 LoadModule 指令(通常已包含在配置中)。
配置文件位置因系统而异:
编辑配置文件,设置以下关键参数:
<IfModule mod_evasive20.c>
# 每个客户端每秒最多请求次数(同一子目录)
DOSPageInterval 1
DOSPageCount 2
<pre class='brush:php;toolbar:false;'># 每个客户端每秒最多总请求数
DOSSiteInterval 1
DOSSiteCount 50
# 黑名单持续时间(秒)
DOSBlockingPeriod 600
# 记录日志路径
DOSLogDir "/var/log/httpd"
# 触发拦截时执行的命令(可选:发送警报或防火墙封禁)
# DOSBlockingExec "iptables -I INPUT -s %s -j DROP"
# 白名单 IP(避免误封内部网络)
DOSWhitelist 127.0.0.1
DOSWhitelist 192.168.1.*</IfModule>
说明:
确保日志目录存在且 Apache 有写入权限:
mkdir -p /var/log/httpd
chown apache:apache /var/log/httpd
chown www-data:www-data /var/log/httpd
查看拦截记录:
tail -f /var/log/httpd/mod_evasive.log
日志内容示例:
[client 203.0.113.45] Blacklisted for exceeding request limits可通过 DOSBlockingExec 自动调用 iptables 封禁恶意 IP:
DOSBlockingExec "sudo /sbin/iptables -I INPUT -s %s -j DROP"
注意:需确保 Apache 用户(如 www-data 或 apache)有免密码执行 iptables 的权限:
visudo
添加:
www-data ALL=(ALL) NOPASSWD: /sbin/iptables
重启 Apache 生效配置:
systemctl restart httpd
systemctl restart apache2
基本上就这些。mod_evasive 不能完全替代专业 DDoS 防护服务,但对于小规模 CC 攻击或暴力扫描非常有效。合理设置阈值,避免误伤正常用户,同时结合 fail2ban、CDN 和防火墙规则,能显著提升 Web 服务器安全性。
以上就是Linux 安全:如何配置 mod_evasive 防止 DoS / DDoS 攻击的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
773
收藏
