mod_limitipconnでDos攻撃対策（ソースバージョン）

premier — Wed, 24 Jun 2009 08:57:20 +0000

前回はパッケージで入れるのをやったので、今回はソースで入れるやり方。

まずmod_limitipconnのソースをダウンロードします。
Apacheのバージョン（1.3系か2系か）によりファイルが異なるので注意。

※このやり方はApacheがDSOサポートをしている場合のものです。
　configureの時に『–enable-module=so』とかつけてコンパイルしてたらOKです。
　コマンドで「httpd -l」とやって『mod_so.c』が出たらいいみたい。

# wget http://dominia.org/djao/limit/mod_limitipconn-*.**.tar.gz
# tar xvfz ./mod_limitipconn-*.**.tar.gz
# cd ./mod_limitipconn-*.**
# make
# make install

設定ファイルを編集します。

/usr/local/apache(2)/conf/httpd.conf

まずはこの行があるかどうか確認。

—–
LoadModule status_module libexec/mod_status.so
—–

ExtendedStatusを有効にする。
—–
ExtendedStatus on
—–

あとは前回の内容と一緒。

～に必要な設定を記述してApache再起動です。

mod_limitipconnでDoS攻撃対策＠CentOS5

premier — Wed, 24 Jun 2009 06:05:58 +0000

先日Apacheの脆弱性が発見されたみたいです。

現時点ではPatchがまだ出ていないですが、出るまで放っておく訳にもいきません。

mod_limitipconnモジュールで1IPからの同時接続数を制限すると効果が出そうです。

さっそく入れてみましょう。

ちなみにApacheはパッケージでインストールしてあります。

# wget http://dominia.org/djao/limit/mod_limitipconn-0.23-1.el5.i386.rpm
# rpm -ivh ./mod_limitipconn-0.23-1.el5.i386.rpm

インストールするとconfファイルができます。

/etc/httpd/conf.d/limitipconn.conf

～に必要な設定を記述します。

　MaxConnPerIP：最大接続数の指定（0だと無制限）
　OnlyIPLimit：制限対象となるファイル形式（MIMEタイプ）の指定
　NoIPLimit：制限対象としないファイル形式（MIMEタイプ）の指定

たとえばこんな感じ。


	# /hogeディレクトリ内のMIMEタイプが「image/*」のファイルは同時ダウンロード数を5とする
	
		MaxConnPerIP 5
		OnlyIPLimit image/*
	
	
	# 拡張子「zip」「tgz」のファイルは同時ダウンロード数を1とする
	
		MaxConnPerIP 1

後はApacheを再起動

# /etc/init.d/httpd graceful

ソースからインストールする方法はまた後で。

参考：接続数／帯域制限で無法なダウンローダを撃退

WoodyVillage » Apache

mod_limitipconnでDos攻撃対策（ソースバージョン）

mod_limitipconnでDoS攻撃対策＠CentOS5