DoS攻撃からWebサーバーを保護するApacheモジュールについて確認しました。下記資料で紹介されているモジュールを確認してみました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
●mod_limitipconn
RPMパッケージ
CentOS6.5では下記パッケージが利用できます。
Name : mod_limitipconn Arch : x86_64 Version : 0.23 Release : 3.el6 Size : 14 k Repo : epel Summary : Simultaneous connection limiting module for Apache URL : http://dominia.org/djao/limitipconn2.html License : ASL 2.0 Description : Apache module which allows web server administrators to limit the : number of simultaneous downloads permitted from a single IP : address.
設定例
下記のように”MaxConnPerIP”でIPアドレス当りの同時接続数を制限できます。
ExtendedStatus On LoadModule limitipconn_module lib/apache/mod_limitipconn.so <IfModule mod_limitipconn.c> MaxConnPerIP 10 <Location /somewhere> MaxConnPerIP 3 NoIPLimit image/* </Location> <Directory /home/*/public_html> MaxConnPerIP 1 OnlyIPLimit audio/mpeg video </Directory> </IfModule>
他にもmod_throttle、mod_bwshare 、mod_dosevasiveなどのモジュールが紹介されていましたが、Apache2.2には対応していないようでした。