Zdravim,
mojim cielom je spravit testy na apache moduloch, ktore sluzia ako obrana voci DDoS utokom. Napadaju vas nejake? Pocul som zatial len o mod_security od Ristića a mod_evasive (ktory je vraj o nicom).
Vopred moc dakujem za odpoved.
Matej

mod_security je dobry modul, ma celkom slusne crs moduly a aj dos protective, avsak vyuzivanie cpu je znacne (vsetko zalezi od pouzitych pravidiel a aj zlozitosti kodu stranky). mod_evasive je troska taky jednoduchy modul, ktory len limituje spojenia, bez moznosti nastavovania (nenasiel som zatial funkcny setting). Idealne je este pouzivat nieco pred apache ako proxy. Trebars nginx alebo varnish ako reverse proxy s tym ze to sluzi aj ako cache a odlahcuje datovu prevadzku a vyuzivanie systemovych zdrojov. Nezabudat samozrejme na QoS modul apachu a samozrejme up-to-date system a jeho sucasti.

Dakujem za odpoved.
(Pisal som na tri fora - z toho dve medzinarodne a konecne som dostal rozumnu odpoved)

Ono v principe riesit bezpecnost len cez apache moduly nie je cesta. Takze vytvarat si iluziu ze pustim mod-security a som "zahojeny" je zle. Treba riesit aj firewall a maximalny mozny pocet connectov. Zablokovat explicitne vsetky nepouzivane aj pouzivane porty ku ktorym nepristupuje verejny segment.

Branit sa proti vacsiemu DDoS na urovni web servera je az nemozne, tieto veci sa skor riesa cez hardware, napiklad Cisco ponuka ochrany voci tomu, ale len malokto si ich dovoli zakupit na domace pouzitie alebo do malej firmy.

S DDoS ti asi nepomozem , ale viem ti pomoct s DoS keby chcel niekto skusat perlacky script slowloris tak vies proti nemu nasadit mod do apacha antiloris http://sourceforge.net/projects/mod-antiloris/

slowloris je uz vyrieseny a ten modul je zastaraly. neodporucam nasadzovat do novsich distribucii

a nejake moduly tretich stran proti DoS/DDoS nepoznate niekto?

matej148: Ako je spomenute vyssie, branit sa proti DDoS je zlozite, ba az nerealne. Pokial ma niekto pristup k botnetu a vyuzije na to par tisic pocitacov, tak mas smolu. Niekedy pre lahky DoS postaci obycajny flood pingom alebo SYN-ACK, inokedy sa vyuziva diera v scriptoch na zahltenie web servera, takze aj keby si pouzil mod na ochranu web servera, v tvojom pripade Apache, tak je tam nadalej moznost dalsieho utoku v inej forme.

Mas azda problem a niekto ti DoSuje/DDoSuje Apache???

Kuzlo ddos utokov je v tom, ze ich cena je nizka, ucinost vysoka a obrana neprimerane nakladna (zdoraznujem slovo neprimerane). Botnet si prenajmes pomaly na amazone za par dolarov, ochrana proti nemu je hardware za tisice eur. Nejake riesenie ponuka cisco, osobnu skusenost s nim nemam.. Kazdy pripad sa riesi individualne, existuje niekolko fint a trikov..

Hojko naznacil spravnu otazku - mas problem, ze Ta niekto aktualne ddosuje, alebo sa zatial len vrtas v niecom, co pravdepodobne nikdy nebudes potrebovat riesit?

riesim DP, v ktorej chcem zistit ake moznosti ma Apache server na zabezpecenie voci DoS/DDoS. simulujem zopar utokov tohto typu a zistujem reakcie Apache-a pri pouziti existujucich modulov. na zaklade toho je mojim cielom implementovat ochranu. je mi samozrejme zname, ze najlepsie je to robit na urovni routra/FW, proxy resp. cisco guard atd, ale riesim to na urovni samotneho apache-a, resp. linuxu na ktorom apache bezi.
co som pozeral, tak existuje pre apache mod_evasive a mod_security a tieto dva moduly tuto problematiku z casti riesia. napada vas este nieco?
Vdaka