Krono 128 Postado Maio 7, 2015 Share Postado Maio 7, 2015 O Apache tem algumas ferramentas para auxílio a proteção da sua máquina e uma delas é o mod_evasive, que protegerá pelo menos o DDOS. Mod_evasive é um módulo de segurança do Apache que proporciona bloqueio de acessos em massa ou ataques de força bruta ao site. A intenção dele é bloquear e separar os acessos em massa a área, através de uma interface que guarda os acessos gerando uma blacklist dos acessos impedindo o acesso dos mesmos por um tempo configurável.1. Se o IP do cliente existe na lista temporária de IPS.2. Acessos simultâneos a páginas, configurando o tempo de acesso as páginas o default é de 1 segundo.3. Número de requisições ao site como um todo.A ideia é retornar o status code 403 - forbidden para os acessos após terem sido bloqueados. Após 10 segundos, período padrão de bloqueio, o cliente tem acesso proibido ao site. A ativação do recurso é bem fácil. O mod_evasive funciona nas duas versões de Apache: 1.3 e 2.0.Veja abaixo os passos de instalação: # tar -xzf mod_evasive-1.4.3.tar.gz # cd mod_evasive-1.4.3 # ./apxs -iac mod_evasive20.c # /etc/init.d/httpd restart Depois de instalado temos que fazer as seguintes configurações no httpd.conf: DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 10 DOSHashTableSize #Esta diretiva define o número de nodes por processo filho na tabela de hash Aumentar o número além do padrão pode melhorar o desempenho, mas consome mais memória para gravar dados, o padrão é 3097. Creditos:Carlos Eugenio att~~ krono Link para o comentário Compartilhar em outros sites More sharing options...
CaioValverde 1 Postado Maio 14, 2015 Share Postado Maio 14, 2015 Sdds proteção para win Link para o comentário Compartilhar em outros sites More sharing options...
Nightz 23 Postado Maio 18, 2015 Share Postado Maio 18, 2015 (editado) Sdds proteção para win O mod_evasive é do Apache, pode ser utilizado no Windows. Uma ressalva para o tutorial: o mod_evasive só protege contra ataques a porta do Apache. Não protege todo o servidor contra DoS ou DDoS. Editado Maio 18, 2015 por Nightz Link para o comentário Compartilhar em outros sites More sharing options...
OtservME 19 Postado Maio 18, 2015 Share Postado Maio 18, 2015 (editado) Mod evasive e deflate são muitos bons para Apache. O grande problema é que o apache, em sí, é muito fraco contra Floods HTTP. Depois de diversos testes e mais de 200x servidores on-line em pesquisa, estamos adicionando em Roadmap do OTpanel virar para Nginx/PHP-FPM. Sugiro que todos façam isso quando começarem a sentir problema de DDoS ou quando tiverem mais de 50x usuários simultâneos no site. O Nginx como proxy de requisições tem evasive e deflate na versão default e segundo meus testes aqui na empresa aguenta 25x mais requisições do que o apache. Usando o mesmo hardware e mesmo tuning de ambiente Editado Maio 18, 2015 por OtservME Link para o comentário Compartilhar em outros sites More sharing options...
Nightz 23 Postado Maio 18, 2015 Share Postado Maio 18, 2015 (editado) Mod evasive e deflate são muitos bons para Apache. O grande problema é que o apache, em sí, é muito fraco contra Floods HTTP. Depois de diversos testes e mais de 200x servidores on-line em pesquisa, estamos adicionando em Roadmap do OTpanel virar para Nginx/PHP-FPM. Sugiro que todos façam isso quando começarem a sentir problema de DDoS ou quando tiverem mais de 50x usuários simultâneos no site. O Nginx como proxy de requisições tem evasive e deflate na versão default e segundo meus testes aqui na empresa aguenta 25x mais requisições do que o apache. Usando o mesmo hardware e mesmo tuning de ambiente Nginx/php-fpm + Varnish é a melhor solução para o http/https, desde que o servidor da pessoa tenha recursos para isso. Consomem muita RAM. Mas o ideal é que a proteção seja feita a nível de servidor ou superior, não no software de cada porta. Editado Maio 18, 2015 por Nightz Link para o comentário Compartilhar em outros sites More sharing options...
OtservME 19 Postado Maio 18, 2015 Share Postado Maio 18, 2015 (editado) Concordo nightz, Segurança se faz em todas as camadas, é um mantra de software =) Minhas pesquisas internas mostram que Nginx+php-fpm consomem menos recursos que o apache, por isso estamos estudando implementar no OTpanel. Em relação ao varnish, usamos em produção por um tempo e não gostei prefiro usar CDN hoje e servidores de cache MEMCACHE. Os falsos positivos do vanish e a dificuldade de ter que ficar editando policies foram os responsáveis pelo banimento dele da nossa produção Deixo claro que adorei seu tutorial e acho que todos devem iniciar com LAMP mesmo para depois estudar performance e tuning e assim garantir maior estabilidade no projeto. Editado Maio 18, 2015 por OtservME Link para o comentário Compartilhar em outros sites More sharing options...
Nightz 23 Postado Maio 18, 2015 Share Postado Maio 18, 2015 (editado) Concordo nightz, Segurança se faz em todas as camadas, é um mantra de software =) Minhas pesquisas internas mostram que Nginx+php-fpm consomem menos recursos que o apache, por isso estamos estudando implementar no OTpanel. Em relação ao varnish, usamos em produção por um tempo e não gostei prefiro usar CDN hoje e servidores de cache MEMCACHE. Os falsos positivos do vanish e a dificuldade de ter que ficar editando policies foram os responsáveis pelo banimento dele da nossa produção Deixo claro que adorei seu tutorial e acho que todos devem iniciar com LAMP mesmo para depois estudar performance e tuning e assim garantir maior estabilidade no projeto. Nginx consome menos processador, mas consome mais RAM. Isso é um problema para OTServer, dependendo das configs do servidor e do mapa. Por isso não sei se é uma boa. Não posso afirmar com certeza porque não testei. O varnish é uma solução muito robusta, estou fazendo testes com ele e já consigo segurar 2.000 conexões POR SEGUNDO com 6GB de RAM e 2 cores sendo utilizados. Mas tudo depende do objetivo. Obrigado! O OT Panel é muito bacana também, pena que é algo fechado. Editado Maio 18, 2015 por Nightz Link para o comentário Compartilhar em outros sites More sharing options...
OtservME 19 Postado Maio 19, 2015 Share Postado Maio 19, 2015 (editado) Opa, bacana. Quando fizer os testes e quiser trocar uma figurinha só me mandar PM pra gente conversar. Varnish é ótimo sim, muito performático. Nosso problema foram as policies de cache, falta de suporte de alguns sistemas usados e tudo mais. Essa marca de 2k requests o Nginx como proxy na frente e até como load balancer faz legal, eu acho que o varnish acaba complicando a médio/longo prazo pois muitos "bugs" surgem por erros de cache nas policies dele. Testa Cloud flare + Nginx Proxy + PHP-FPM, resultados muito parecidos e sem nenhum stress de configuração retórica. Sobre o OTpanel, ele é um produto comercial da empresa sou um dos desenvolvedores de lá. Temos um sonho um dia de, quem sabe, portar ele pra Windows e deixar como opensource mas sabemos que a lei de software no Brasil não funciona direito então temos receio disso no momento. Editado Maio 19, 2015 por OtservME Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados