防止 DoS

DDoS (distributed denial-of-service) 及 DoS (denial-of-service) 在網路上十分常見，而 DoS 攻擊所傳送的請求跟正常的請求一樣，分別在於每秒鐘發出大量請求到伺服器，使伺服器的負載增加，最常見的情況是伺服器暫停服務。

從主機 dywH 經 ADSL 連線 dywang.csie.cyut.edu.tw 進行壓力測試，同時 1000 個連線做 20 次，測試結果前 50% 完成連線需要 2373ms， 100% 完成連線需要 49838ms。

[root@dywH ~]# ab -n 1000 -c 20 http://dywang.csie.cyut.edu.tw/moodle23/index.php
This is ApacheBench, Version 2.3 <$Revision: 655654 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking dywang.csie.cyut.edu.tw (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Completed 400 requests
Completed 500 requests
Completed 600 requests
Completed 700 requests
Completed 800 requests
Completed 900 requests
Completed 1000 requests
Finished 1000 requests


Server Software:        Apache/2.2.15
Server Hostname:        dywang.csie.cyut.edu.tw
Server Port:            80

Document Path:          /moodle23/index.php
Document Length:        64197 bytes

Concurrency Level:      20
Time taken for tests:   168.548 seconds
Complete requests:      1000
Failed requests:        996
   (Connect: 0, Receive: 0, Length: 996, Exceptions: 0)
Write errors:           0
Total transferred:      64891389 bytes
HTML transferred:       64315239 bytes
Requests per second:    5.93 [#/sec] (mean)
Time per request:       3370.955 [ms] (mean)
Time per request:       168.548 [ms] (mean, across all concurrent requests)
Transfer rate:          375.98 [Kbytes/sec] received

Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:       25  355 311.4    279    3377
Processing:   923 2991 2502.0   2001   49621
Waiting:      239  606 432.8    476    5617
Total:        953 3346 2517.2   2373   49838

Percentage of the requests served within a certain time (ms)
  50%   2373
  66%   3470
  75%   3850
  80%   4251
  90%   5977
  95%   7851
  98%  10004
  99%  11075
 100%  49838 (longest request)

mod_evasive 是一個預防 Apache 遭受 DDos 攻擊的模組，可以防止同一個 IP 對相同 URI 發出的大量請求，此模組已納入 DYW Linux REPO 資料庫，可以直接以 yum 指令安裝。
```
[root@dywang ~]# yum install mod_evasive
```

編輯 mod_evasive 模組設定檔。

[root@dywang ~]# vim /etc/httpd/conf.d/mod_evasive.conf 
[root@dywang ~]# grep DOS /etc/httpd/conf.d/mod_evasive.conf 
    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10
    #DOSEmailNotify      you@yourdomain.com
    #DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
    #DOSLogDir           "/var/lock/mod_evasive"
    # Multiple DOSWhitelist commands may be used in the configuration.
    #DOSWhitelist   127.0.0.1
    #DOSWhitelist   192.168.0.*

設定選項說明：
1. DOSHashTableSize：佔用記憶體的大小，如果伺服器比較繁忙，這個數值要設定大一點。
2. DOSPageCount：同一 IP 在一個時段內可以存取同一頁面的次數，超過會被禁止。
3. DOSSiteCount：同一 IP 在一個網站內可以佔用多少個請求，超過會禁止。
4. DOSPageInterval：DOSPageCount 內的時段設定。
5. DOSSiteInterval： DOSSiteCount 的時間設定，以秒為單位。
6. DOSBlockingPeriod：當發現疑似攻擊後，使用者會收到 403 Forbidden，這是設定封鎖的時間，以秒為單位。
7. DOSWhitelist：白名單，不做限制。

重新啟動 httpd。

[root@dywang ~]# /etc/init.d/httpd restart

加入 mod_evasive 模組後，從主機 dywH 經 ADSL 連線 dywang.csie.cyut.edu.tw 進行壓力測試，同時 1000 個連線做 20 次，測試結果無法完成，連線被重置。

[root@dywH ~]# ab -n 1000 -c 20 http://dywang.csie.cyut.edu.tw/moodle23/index.php
This is ApacheBench, Version 2.3 <$Revision: 655654 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking dywang.csie.cyut.edu.tw (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Completed 400 requests
apr_socket_recv: Connection reset by peer (104)
Total of 456 requests completed