страница проекта: http://freed0m.org/?index=mod_limit
mod_limit.zip- Модуль под Win32 для Apache 2.2.x
- (2.7 Кб) Скачиваний: 1049
пример настройки:
- Код: Выделить всё • Развернуть
<IfModule limit_module>
LimitMaxSyn 50
LimitSynAct HARDBAN
LimitSynTmo 10
LimitMaxReq 200
LimitReqAct SOFTBAN
LimitReqTmo 5
LimitBanMsg "Your IP is temporary blocked. Please wait %d minutes."
LimitHtSize 8011
LimitWriteLog On
</IfModule>
расшифровка параметров:
mitMaxSyn - задаёт лимит "пустых" соединений подряд. Пустым считается соединение в котором не пришло ни одного верного http-запроса. Этот лимит определяет реакцию на syn flood. Установленное значение в 50 соединений достаточно, чтобы исключить ложные срабатывания, но тем не менее syn-флуд превышает этот лимит практически мгновенно.
LimitSynAct - задаёт действие, предпринимаемое при превышении LimitMaxSyn. Этот параметр может иметь три значения: PASS - игнорировать событие, HARDBAN - не принимать соединения атакующего и SOFTBAN - выдавать атакующему сообщение о блокировке.
LimitSynTmo - задаёт таймаут действия LimitSynAct в минутах. Время бана в 10 минут достаточно, чтобы отбить желание сканировать порты или заблокировать атаку с вебшеллов. В случае серьёзного ддоса рекомендуется увеличить это значение до нескольких часов. Отсчёт таймаута начинается с момента прекращения флуда атакующим.
LimitMaxReq - задаёт лимит количества http-запросов с одного IP адреса в минуту. Значение в 200 позволяет достаточно быстро реагировать на http-флуд, но тем не менее оставляет небольшой риск ложного срабатывания. В том случае, если посетители вашего сайта часто выкачивают множество страниц программной качалкой, рекомендуется увеличить это значение до 500-1000.
LimitReqAct - задаёт действие, предпринимаемое при вревышении LimitMaxReq. Задается аналогично LimitSynAct.
LimitReqTmo - задаёт таймаут действия LimitReqAct в минутах. Отсчёт таймаута начинается с момента превышения лимита.
LimitBanMsg - задаёт сообщение о блокировке, выдаваемое при действии SOFTBAN. С помощью идентификатора %d в сообщение можно вставить оставшееся время блокировки в минутах.
LimitHtSize - задаёт размер внутренней таблицы, предназначенной для поиска статистики, связанной с IP адресом. При значении 8011 модуль использует около 64кб памяти. Большие значения целесообразны только при экстремальных нагрузках.
LimitWriteLog - включает запись в error.log сервера сообщений о срабатывании mod_limit. Рекомендуется включить для сбора статистики срабатываний.
