序章

以前はmod_dosevasiveと呼ばれていたmod_evasiveApacheモジュールは、Apache Webサーバーに対するDoS、DDoS(分散型サービス拒否)、およびブルートフォース攻撃からの保護に役立ちます。 攻撃中に回避アクションを提供し、電子メールおよびsyslog機能を介して不正使用を報告できます。 このモジュールは、IPアドレスとURIの内部動的テーブルを作成し、次のいずれかから単一のIPアドレスを拒否することによって機能します。

  • 1秒間に数回以上同じページをリクエストする
  • 1秒あたり同じ子に対して50を超える同時リクエストを行う
  • 一時的にブラックリストに登録されている間にリクエストを行う

上記の条件のいずれかが満たされると、403応答が送信され、IPアドレスがログに記録されます。 オプションで、電子メール通知をサーバー所有者に送信するか、システムコマンドを実行してIPアドレスをブロックすることができます。

このチュートリアルでは、サーバーにmod_evasiveをインストール、構成、および使用する方法について説明します。

前提条件

このチュートリアルを開始する前に、次のものが必要です。

  • CentOS 7 64ビットドロップレット(CentOS 6でも動作します)
  • sudo権限を持つroot以外のユーザー。 このタイプのユーザーをセットアップするには、 CentOS7を使用したサーバーの初期セットアップのチュートリアルに従ってください。 すべてのコマンドはこのユーザーとして実行されます。
  • ドロップレットで実行されているApacheWebサーバー。 Apacheをインストールするには、CentOSの記事にLinux、Apache、MySQL、PHP(LAMP)スタックをインストールする方法のステップ1に従ってください。

ステップ1—mod_evasiveをインストールする

このセクションでは、mod_evasiveが機能するために必要なパッケージをインストールし、最後にmod_evasiveをインストールします。

まず、サーバーにEPEL(Enterprise Linux用の追加パッケージ)yumリポジトリをインストールする必要があります。 EPELは、Enterprise Linux用の高品質のオープンソースアドオンソフトウェアパッケージのセットを作成、維持、および管理するFedora SpecialInterestGroupです。 次のコマンドを実行して、サーバーにEPELリポジトリをインストールして有効にします。

CentOS 7の場合:

  1. sudo rpm -ivh http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm

CentOS 6の場合:

  1. sudo rpm -ivh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

以下を使用して、EPELリポジトリが有効になっていることを確認しましょう。

  1. sudo yum repolist

有効にすると、出力に次のリポジトリが表示されます。

epel/x86_64                                                            Extra Packages for Enterprise Linux 7 - x86_64

それでは、yumプラグイン securebase を使用して、EPELからベースパッケージを保護しましょう。

  1. sudo yum install yum-plugin-protectbase.noarch -y

securebase プラグインの目的は、特定のyumリポジトリーを他のリポジトリーからの更新から保護することです。 保護されていないリポジトリのバージョンが新しい場合でも、保護されているリポジトリ内のパッケージが更新されたり、保護されていないリポジトリ内のパッケージによって上書きされたりすることはありません。

これで、mod_evasiveモジュールをインストールする準備が整いました。 次のコマンドを実行してインストールします。

  1. sudo yum install mod_evasive -y

ステップ2—インストールの確認

mod_evasiveがインストールされたので、構成ファイルがインストールされ、モジュールがロードされていることを確認しましょう。

インストール中に、mod_evasive構成ファイル/etc/httpd/conf.d/mod_evasive.confが追加されました。 この実行を確認するには:

  1. sudo ls -al /etc/httpd/conf.d/mod_evasive.conf

出力は次のようになります。

-rw-r--r-- 1 root root 3473 Jul 21 01:41 /etc/httpd/conf.d/mod_evasive.conf

デフォルトでは、次のLoadModule行が構成ファイルmod_evasive.confの先頭に追加されます。 ファイルを開き、まだ存在しない場合は行を追加します。 この行は、ApacheWebサーバーにmod_evasiveモジュールをロードして使用するように指示します。

CentOS 7では、行は次のようになります。

/etc/httpd/conf.d/mod_evasive.conf
LoadModule evasive20_module modules/mod_evasive24.so

CentOS 6では、行は次のようになります。

/etc/httpd/conf.d/mod_evasive.conf
LoadModule evasive20_module modules/mod_evasive20.so

Apache Webサーバー用にロードされたモジュールをリストし、mod_evasiveを探します。

  1. sudo  httpd -M | grep evasive

出力には次のように表示されます。

 evasive20_module (shared)

ステップ3—mod_evasiveを構成する

インストールが完了して検証されたので、モジュールの構成を調べてみましょう。 mod_evasiveは、mod_evasive.conf構成ファイルを使用して簡単にカスタマイズできます。 このチュートリアルでは、いくつかの構成パラメーターについて説明します。 すべてのパラメーターについては、構成ファイルを参照してください。各パラメーターの説明が含まれています。

変更する必要のある構成オプションの1つは、DOSEmailNotifyです。 これは非常に便利なディレクティブです。 この値が設定されている場合、IPアドレスがブラックリストに登録されるたびに、指定された電子メールアドレスに電子メールが送信されます。 メール本文にはmod_evasive HTTP Blacklisted 111.111.111.111と表示されます

たとえば、mod_evasiveアラートを送信して [email protected] と言う場合は、ファイルを編集します。

  1. sudo nano /etc/httpd/conf.d/mod_evasive.conf

行の前にある#を削除して、DOSEmailNotify行のコメントを解除し、電子メールアドレスを自分のものに変更します。

/etc/httpd/conf.d/mod_evasive.conf
DOSEmailNotify   [email protected]

注: mod_evasiveは、電子メールアラートの送信に/bin/mailを使用します。 メールサーバーをインストールして機能させる必要があります。メール通知が機能するように簡単なメールサーバーを設定する方法については、このチュートリアルを参照してください。

設定する可能性のあるもう1つのパラメーターは、DOSWhitelistです。 このオプションを使用すると、信頼できるクライアントのIPアドレスをホワイトリストに追加して、それらが拒否されないようにすることができます。 ホワイトリストの目的は、ソフトウェア、スクリプト、ローカル検索ボット、またはその他の自動化ツールがサーバーに大量のデータを要求することを拒否されないように保護することです。

IPアドレス(111.111.111.111など)をホワイトリストに登録するには、次のように構成ファイルにエントリを追加します。

/etc/httpd/conf.d/mod_evasive.conf
DOSWhitelist	111.111.111.111

ワイルドカードは、必要に応じてIPアドレスの最後の3オクテットまで使用できます。

異なるIP範囲から複数のIPアドレスをホワイトリストに登録するには、次のように構成ファイルに個別のDOSWhitelist行を追加できます。

/etc/httpd/conf.d/mod_evasive.conf
DOSWhitelist	111.111.111.111
DOSWhitelist	222.222.222.222

DOSPageCountDOSSiteCountは、クライアントが不必要にブロックされないように、攻撃性の低い値に変更することをお勧めする他の2つのパラメーターです。

DOSPageCountは、IPアドレスによるページ間隔(通常は1秒に設定)ごとの同じページに対する要求数の制限です。 その間隔のしきい値を超えると、クライアントのIPアドレスがブロックリストに追加されます。 デフォルト値は2と非常に低く設定されています。 /etc/httpd/conf.d/mod_evasive.confで以下を編集することにより、より高い値、たとえば20に変更できます。

/etc/httpd/conf.d/mod_evasive.conf
DOSPageCount 20

DOSSiteCountは、サイト間隔ごとのIPアドレスによる同じWebサイトへのリクエストの総数の制限です(デフォルトは1秒)。 100秒などのより大きな値に変更するには:

/etc/httpd/conf.d/mod_evasive.conf
DOSSiteCount 100

パフォーマンスを向上させるために変更できるパラメータは他にもいくつかあります。

1つはDOSBlockingPeriodです。これは、クライアント(IPアドレス)がブロックリストに追加された場合にブロックされる時間(秒単位)です。 この間、クライアントからの後続のすべてのリクエストにより、403(禁止)エラーが発生し、タイマーがリセットされます(デフォルトは10秒)。

たとえば、ブロック期間を300秒に増やしたい場合は、次のようにします。

/etc/httpd/conf.d/mod_evasive.conf
DOSBlockingPeriod	 300

もう1つは、mod_evasiveによって使用される一時ディレクトリを参照するDOSLogDirです。 デフォルトでは、/tmpがロックメカニズムに使用されます。これにより、システムがシェルユーザーに公開されている場合、セキュリティ上の問題が発生します。 非特権シェルユーザーがいる場合は、Apacheを実行しているユーザー(通常は apache )にのみ書き込み可能なディレクトリを作成し、このパラメーターをmod_evasive.confファイルに設定します。

たとえば、mod_evasiveが使用するディレクトリを/var/log/mod_evasiveに設定するには、次を使用してディレクトリを作成します。

  1. sudo mkdir /var/log/mod_evasive

次に、所有権をapacheユーザーに設定します。

  1. sudo chown -R apache:apache /var/log/mod_evasive

次に、mod_evasive構成を編集し、次のようにディレクトリを変更します。

/etc/httpd/conf.d/mod_evasive.conf
DOSLogDir           "/var/log/mod_evasive"

もう1つのパラメーターはDOSSystemCommandです。 値が設定されている場合、IPアドレスがブラックリストに登録されるたびに、指定されたコマンドが実行されます。 このパラメーターを使用すると、mod_evasiveをサーバーにインストールされているファイアウォールまたはシェルスクリプトと統合し、ファイアウォールでmod_evasiveによってブラックリストに登録されているIPアドレスをブロックできます。

ステップ4—mod_evasiveモジュールをロードする

構成ファイルに変更を加えたら、それらを有効にするためにApacheWebサーバーを再起動する必要があります。 次のコマンドを実行して、Apacheを再起動します。

CentOS 7の場合:

  1. sudo systemctl restart httpd.service

CentOS6の場合:

  1. sudo service httpd restart

注:mod_evasiveはFrontPageServerExtensionsと競合しているように見えることに注意してください。 また、Apache Webサーバーの設定をチェックして、mod_evasiveが正常に機能することを確認することもできます。 推奨されるApacheの調整では、MaxRequestsPerChildの値を非常に高くしますが、無制限ではなく(ゼロの値は無制限を意味します)、KeepAliveTimeoutを適度に長く設定してKeepAliveを有効にします。

ステップ5—mod_evasiveをテストする

モジュールが正しく機能しているかどうかを確認するために、簡単なテストを行いましょう。 mod_evasive開発者によって書かれたperlスクリプトtest.plを使用します。 スクリプトを実行するには、最初にperlパッケージをサーバーにインストールする必要があります。

  1. sudo yum install -y perl

テストスクリプトは、mod_evasiveを使用して次の場所にインストールされます。

/usr/share/doc/mod_evasive-1.10.1/test.pl

デフォルトでは、テストスクリプトはApache Webサーバーに同じページを100回続けて要求し、mod_evasiveをトリガーします。 前のセクションでは、mod_evasiveを変更して、同じページへの1秒あたりのリクエストに対する耐性を高めました。 mod_evasiveのすべての通知メソッドを確実にトリガーするには、スクリプトを100ではなく200のリクエストに連続して変更する必要があります。

/usr/share/doc/mod_evasive-1.10.1/test.plを編集します:

  1. sudo nano /usr/share/doc/mod_evasive-1.10.1/test.pl

次の行を見つけます。

/usr/share/doc/mod_evasive-1.10.1/test.pl
for(0..100) {

100200に置き換えます。

/usr/share/doc/mod_evasive-1.10.1/test.pl
for(0..200) {

保存して終了。

スクリプトを実行するには、次のコマンドを実行します。

  1. sudo perl /usr/share/doc/mod_evasive-1.10.1/test.pl

次のような出力が表示されます。

HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
...

スクリプトは、Webサーバーに対して100の要求を行います。 403応答コードは、アクセスがWebサーバーによって拒否されたことを示します。 mod_evasiveは、IPアドレスがブロックされたときにsyslogにもログを記録します。 以下を使用してログファイルを確認します。

  1. sudo tailf /var/log/messages

次のような行が表示されます。

Jul 29 00:11:18 servername mod_evasive[18290]: Blacklisting address 127.0.0.1: possible DoS attack.

IPアドレスがmod_evasiveによってブロックされていることを示します。

IPがブロックされたときに電子メールアラートを送信するようにmod_evasiveを構成した場合、受信トレイに次の内容の電子メールが送信されます。

mod_evasive HTTP Blacklisted 127.0.0.1

結論

mod_evasiveは、単一サーバー、スクリプト攻撃、および分散攻撃を防ぐのに最適です。 ただし、これは、無効な要求を処理および応答するためのサーバーの合計帯域幅とプロセッサ容量の点でのみ役立ちます。 このため、最大限の保護を実現するために、このモジュールをサーバーファイアウォールと統合することをお勧めします。 本当に優れたインフラストラクチャとファイアウォールが設置されていなくても、重いDDoSによってオフラインになる可能性があります。 攻撃が非常に重く持続的な場合は、ハードウェアベースのDDoS緩和ソリューションに移行する必要があるかもしれません。