Apache वेब सर्वर को धीमे पढ़ने के हमले के साथ-साथ कुछ अन्य लक्षित हमलों से बचाता है

नमस्ते।
मैं Apache वेब सर्वर को धीमे पढ़ने के हमले से बचाने के अपने अनुभव को साझा करना चाहता हूं। तथ्य यह है कि इस हमले को यहां (अंग्रेजी), साथ ही यहां (रूसी) पढ़ा जा सकता है।

माना गया तरीका आपको एक्सटेंशन mod_evasive और mod_security का उपयोग करके सर्वर को सुरक्षित करने की अनुमति देता है, और सबसे महत्वपूर्ण बात - इसे लागू करने के आधे घंटे से भी कम समय की आवश्यकता होती है। कॉन्फ़िगरेशन Ubuntu संस्करण 12.04 + Apache 2.2 पर किया गया था। वेब सर्वर के अन्य संस्करणों के लिए, साथ ही साथ अन्य ऑपरेटिंग सिस्टम के लिए सेटिंग्स, मुख्य रूप से सॉफ़्टवेयर पैकेज स्थापित करने की सुविधाओं में भिन्न होती हैं और वास्तव में, उनके लिए स्थापित प्रोग्राम और मॉड्यूल के संस्करणों में।



पैकेज स्थापना
चूंकि संरक्षित सर्वर उबंटू पर स्थापित है, अपाचे के लिए आवश्यक मॉड्यूल की स्थापना एक कमांड के साथ की जाती है:

sudo apt-get install libapache2-mod-evasive libapache-mod-security

Mod_evasive पैकेज एप्लिकेशन-स्तरीय DDOS बाढ़ हमलों के खिलाफ सुरक्षा प्रदान करेगा, जबकि mod_security धीमी गति से पढ़ने के हमलों सहित लक्षित हमलों से सुरक्षा प्रदान करेगा।

इसके मूल में, mod_security एक खुला स्रोत सॉफ़्टवेयर फ़ायरवॉल है जो वेब सर्वर की सुरक्षा करता है और इसे Trustwave स्पाइडरलैब्स द्वारा विकसित किया जा रहा है।

Mod_evasive कॉन्फ़िगर करना
काम करने के लिए मॉड्यूल के लिए, आपको अपाचे लिखने के अधिकारों के साथ लॉग को सहेजने के लिए एक फ़ोल्डर की आवश्यकता होगी (यह माना जाता है कि वेब सर्वर www-डेटा उपयोगकर्ता से लॉन्च किया गया है):

sudo mkdir /var/log/mod_evasive
sudo chown www-data:www-data /var/log/mod_evasive/

सेटिंग्स के साथ एक फ़ाइल बनाएँ:

sudo nano /etc/apache2/conf.d/modevasive
<ifmodule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 90
DOSLogDir /var/log/mod_evasive
DOSEmailNotify EMAIL@DOMAIN.com
DOSWhitelist 127.0.0.1
</ifmodule>

पता लगाए गए हमले के बारे में जानकारी प्राप्त करने वाले के पते के साथ ईमेल को प्रतिस्थापित किया जाना चाहिए (पत्र भेजने के लिए सेंडमेल / पोस्टफिक्स की आवश्यकता है)।
यह mod_evasive का सेटअप पूरा करता है।

Mod_security कॉन्फ़िगर करना
चूंकि mod_security एक फ़ायरवॉल है, इसलिए इसे काम करने के लिए नियमों का एक सेट चाहिए।
आप SourceForge पर पेज से नियमों का नवीनतम संस्करण डाउनलोड कर सकते हैं। इसके अलावा, नियमों के स्वचालित अपडेट को कॉन्फ़िगर करना संभव है, यह यहां और अधिक विवरण में वर्णित है ।
डाउनलोड किए गए संग्रह में आपको कई फ़ोल्डर मिलेंगे। हम base_rules फ़ोल्डर में स्थित बुनियादी नियमों में रुचि रखते हैं।
नियमों के लिए एक फ़ोल्डर बनाएँ, उन्हें डाउनलोड करें और सोर्सफॉर्ज से अनज़िप्ड फ़ाइल से कॉपी करें।

sudo mkdir /etc/apache2/mod_security_rules
sudo mv base_rules/* /etc/apache2/mod_security_rules
sudo chown -R root:root /etc/apache2/mod_security_rules

निम्न सामग्रियों के साथ mod_security के लिए कॉन्फ़िगरेशन फ़ाइल बनाएँ:

sudo nano /etc/apache2/conf.d/modsecurity
<ifmodule mod_security2.c>
Include mod_security_rules/*.conf
SecWriteStateLimit 100
</ifmodule>

यह कॉन्फिगरेशन हमारे द्वारा कॉपी किए गए नियमों को कनेक्ट करेगा, और इसके अलावा, यह प्रत्येक व्यक्तिगत आईपी के लिए स्ट्रीम की संख्या पर एक सीमा निर्धारित करेगा, जो कि SERVER_BUSY_WRITE मोड में हो सकता है, जो स्लो लोरिक / SlowHttp जैसे हमलों की संभावना को रोक देगा।

उबंटू के 32-बिट संस्करण के लिए, कॉन्फ़िगरेशन यहां समाप्त होता है।
X64 में, लाइब्रेरी के रास्तों के अंतर से संबंधित modsecurity के साथ एक बग होता है, जो libxml को जोड़ने से रोकता है। इसे ठीक करने के लिए, पहली बात यह निर्धारित करना है कि आपका libxml2.so.2 पुस्तकालय कहां स्थित है:

locate libxml2.so.2

2 विकल्प हैं: /usr/lib/x86_64-linux-gnu/libxml2.so.2 या /usr/lib/i386-linux-gnu/libxml2.so.2। इसके बाद, आपको /etc/apache2/mods-enabled/mod-security.load फ़ाइल को संपादित करने की आवश्यकता है, उस पथ की जगह जहां जुड़ा पुस्तकालय आपके सिस्टम पर लाइब्रेरी पथ के साथ /usr/lib/libxml2.so.2 के साथ स्थित है।

सुनिश्चित करें कि मॉड्यूल जुड़े हुए हैं:

sudo a2enmod mod-evasive
sudo a2enmod mod-security

और कॉन्फ़िगर करने के लिए अपाचे को फिर से शुरू करें:

service apache2 restart

परीक्षण
परीक्षण के लिए, हम सबसे धीमी उपयोगिता का उपयोग करते हैं। आप परियोजना के पृष्ठों पर इसके विन्यास और स्थापना के बारे में पढ़ सकते हैं, तो चलिए तुरंत आवेदन पर चलते हैं:

slowhttptest -c 65539 -B -g -o my_server_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u DOMAIN.COM -x 10 -p 3

यदि आप प्रोग्राम के आउटपुट पर विश्वास करते हैं, तो पहले से ही पांचवें सेकंड में सर्वर अनुपलब्ध हो जाता है:

Sat Jun 2 16:41:37 2012:slow HTTP test status on 5th second:
initializing: 0
pending: 564
connected: 217
error: 0
closed: 0
service available: NO

और यहाँ मैंने अपाचे लॉग में लिखा है:

tail /var/log/apache2/error.log
[Sat Jun 02 16:41:38 2012] [warn] ModSecurity: Access denied with code 400. Too many threads [101] of 100 allowed in WRITE state from xxx.xxx.xxx.xxx - Possible DoS Consumption Attack [Rejected]

इस प्रकार, सर्वर अब धीमी गति से पढ़े जाने वाले हमले के लिए अतिसंवेदनशील नहीं है और आईपी ​​पते द्वारा अस्थायी रूप से हमलावर उपयोगकर्ताओं को ब्लॉक करता है।

सुरक्षा के इस तरीके के मुख्य लाभ: सादगी और कॉन्फ़िगरेशन की गति, ओपनसोर्स समाधान का उपयोग।
एक कमजोर बिंदु कई अलग-अलग आईपी पते से वितरित हमला हो सकता है।