DoS攻撃からWebサーバーを保護するApacheモジュールについて確認しました。下記資料で紹介されているモジュールを確認してみました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
●mod_limitipconn
RPMパッケージ
CentOS6.5では下記パッケージが利用できます。
Name : mod_limitipconn
Arch : x86_64
Version : 0.23
Release : 3.el6
Size : 14 k
Repo : epel
Summary : Simultaneous connection limiting module for Apache
URL : http://dominia.org/djao/limitipconn2.html
License : ASL 2.0
Description : Apache module which allows web server administrators to limit the
: number of simultaneous downloads permitted from a single IP
: address.
設定例
下記のように”MaxConnPerIP”でIPアドレス当りの同時接続数を制限できます。
ExtendedStatus On LoadModule limitipconn_module lib/apache/mod_limitipconn.so <IfModule mod_limitipconn.c> MaxConnPerIP 10 <Location /somewhere> MaxConnPerIP 3 NoIPLimit image/* </Location> <Directory /home/*/public_html> MaxConnPerIP 1 OnlyIPLimit audio/mpeg video </Directory> </IfModule>
他にもmod_throttle、mod_bwshare 、mod_dosevasiveなどのモジュールが紹介されていましたが、Apache2.2には対応していないようでした。