DDoS — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. В настоящее время DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.
Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке. Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации.
Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределённых бот-сетей.
Для защиты от DDOS атаки на уровне веб сервера Apache необходимо установить дополнительный модуль которой анализирует проходящий трафик и блокирует IP адреса с большой активностью:
sudo apt-get install libapache2-mod-evasive
Далее необходимо создать конфигурационный файл — mod-evasive.conf
sudo nano /etc/apache2/mods-available/mod-evasive.conf
Скопируйте в файл следующий код:
<IfModule mod_evasive20.c> DOSHashTableSize 4096 DOSPageCount 5 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 10 </IfModule>
Описание параметров:
- DOSHashTableSize — размер хэш-таблицы которая обрабатывает запросы к WWW-серверу.
- DOSPageCount: — число запросов к одной странице от одного и того же IP в течение указанного интервала времени.
- DOSSiteCount — число запросов с одного IP на разные страницы домена.
- DOSPageInterval — Интервал для директивы DOSPageCount (в секундах)
- DOSSiteInterval — Интервал для директивы DOSSiteCount (в секундах)
- DOSBlockingPeriod — Время блокировки IP (в секундах)
- DOSEmailNotify — этот параметр используется для отправки сообщения по электронной почте о блокировки IP. Необходимо указать Ваш E-mail.
- DOSWhiteList: список белых IP адресов, можно и по маскам (напр. 127.0.0.*)
Сохраняем файл и перезапускаем Apache:
sudo service apache2 restart
