Mehrere Fragen zu mod_evasive zur DDoS-Abwehr, speziell zu Lockfiles

[Gast King555]

Ich habe mehrere Fragen zu mod_evasive, dem Apache-Modul zur DDoS-Abwehr. Zunächst einmal: Ich benutze den Apache 2 unter Debian 5.

Folgende Fragen habe ich:

1.) Wie stelle ich fest, ob meine Konfiguration angenommen wird? Diese habe ich unter /etc/apache2 in der Datei mod_evasive.conf abgelegt.

Aktueller Inhalt:

<IfModule mod_evasive20.c>

DOSHashTableSize 3097

DOSPageCount 5

DOSSiteCount 50

DOSPageInterval 1

DOSSiteInterval 1

DOSBlockingPeriod 43200

DOSCloseSocket On

</IfModule>

Funktioniert es überhaupt ganz ohne, also ohne diese Konfigurationsdatei? Ich frage deswegen, weil ich per htaccess derzeit einige Hosts manuell geblockt habe, die nun eigentlich - nach meiner Konfiguration - durch mod_evasive geblockt werden müssten (also nochmal zusätzlich), da diese ja auf den Webspace zugreifen (sehr oft und schnell). Vielleicht läuft das Modul derzeit mit Standardwerten?

2.) Warum werden die Lockfiles nicht gelöscht? Damit meine ich die Dateien mit "dos-*" im Namen, die unter /tmp abgelegt werden. Diese müssten doch nach der eingestellten Zeitspanne verschwinden, oder nicht?

3.) Was bedeutet der Inhalt der Lockfiles? Darin ist immer eine 4- bis 5-stellige Zahl.

4.) Sind die IPs, für die es Lockfiles gibt, alle gesperrten oder gibt es noch eine Liste im Speicher? Falls letzteres, kommt man an die Liste dran?

5.) Wie in meiner Konfiguration zu sehen, habe ich noch "DOSCloseSocket" auf "On" gesetzt. Gibt es den Befehl eigentlich? Ich habe zig Seiten gefunden, aber nur eine einzige dokumentiert diese Einstellung. Alle anderen erwähnen davon gar nichts.

Danke schonmal für eure Antworten!

[schepp]

Hast du deine mod_evasive.conf denn auch geladen, also z.B. per include in die httpd.conf eingebunden? Wenn nein, dann machen

Du solltest den Pfad in dem die Lock-Dateien erstellt werden verändern, /tmp ist sonst so unaufgeräumt

Das tust du mit der Option

DOSLogDir "/var/lock/mod_evasive"

Gelöscht werden die Lockfiles nicht, denn sie verhindern nicht, dass die IP nichtmehr auf deine Seite kommt, sondern nur die erneute Emailbenachrichtigung für diese IP. Die Emailbenachrichtigung kannst du in der Config mit

DOSEmailNotify mail@domain.de

einschalten.

Greift nun eine IP zu oft auf deine Seite zu wird die IP für die Zeitspanne geblockt (bei dir 12 Stunden), ggf. wird eine Email an dich versendet und das Lockfile erstellt. Nach den 12 Stunden darf die IP wieder zugreifen. Greift sie nun wieder zu oft zu, wird sie wieder für 12 Stunden geblockt, du bekommst aber keine neue Email, weil das alte Lockfile noch existiert. Also eine Anti-Email-Spam Maßnahme

Die Option DOSCloseSocket gibt es, ja beschrieben hier

Was die Zahlen in den Lockfiles bedeuten kann ich dir leider nicht sagen.

Gruß

[Gast King555]

Danke für deine Antwort. Ich hatte die mod_evasive.conf natürlich nicht in der httpd.conf inkludiert...

Habe auch festgestellt, dass trotz vorhin erfolgter Änderung des Lockfile-Pfades die Lockfiles immer noch in /tmp landen. Daher wurde meine Konfiguration offensichtlich nicht verwendet. Mich würde aber stark interessieren, welches die Standardeinstellungen waren.

Das Verwenden eines alternativen Lockfile-Pfades ist tatsächlich etwas übersichtlicher, auch wenn ich nun mehr tippen muss, um dahin zu gelangen.

Leider sagt der Apache nach dem Neuladen der Konfiguration, dass "DOSCloseSocket" eine ungültige Einstellung ist. Das erklärt wohl, warum diese Einstellung nur auf der einen einzigen Seite (die hinter deinem Link ist auch die, die ich gefunden hatte) erwähnt ist und sonst nirgends.

Gerade habe ich übrigens noch den Parameter "DOSWhitelist" auf einer Website gefunden (mod_evasive - Apache gegen DoS Attacken absichern). Hast du eine Idee, wie ich da mehrere angebe? Hintereinander mit Leerzeichen?

Offene Fragen wären jetzt nur noch die nach dem Inhalt der Lockfiles (nur aus reinem Interesse) und wie ich an die Liste der jetzt aktuell gesperrten IPs komme.

Bearbeitet 14. Juli 2010 von King555

[schepp]

DOSWhitelist kannst du mehrfach verwenden, auch mit Wilcards, also z.B.

DOSWhitelist 1.1.1.*

DOSWhitelist 1.2.3.4

DOSWhitelist 2.2.*

Einfach mehrfach untereinander in deiner evasive.conf einfügen.

Gruß

[Gast King555]

Danke.

Kannst du mir noch sagen, welche Rechte und welchen Besitzer ich dem Verzeichnis /var/lock/mod_evasive verpassen sollte? Mich wundert, dass noch nichts drin steht und ich dachte mir, vielleicht hat der Apache keine Schreibrechte. Reicht es vielleicht, den User auf www-data zu setzen?

[schepp]

Ja, der User, der den Webserver ausführt muss Schreibrechte haben.

[Gast King555]

Danke!

[Gast King555]

Ich habe jetzt noch mal eine Folgefrage: Ich habe gerade festgestellt, dass unter "/var/lock/mod_evasive" auch ein Eintrag mit meiner eigenen IP ist. Trotzdem wurde ich nicht gesperrt, alle Seiten auf meinem Server sind für mich noch aufrufbar. Ich befinde mich aber in keiner Whitelist (habe ja eine dynamische IP). DOSBlockingPeriod steht auf 43200. Warum arbeitet mod_evasive nicht? Es werden ja scheinbar Attacken erkannt, aber offensichtlich nicht geblockt. Was kann der Grund sein?