ປົກປ້ອງ Apache ຕໍ່ Brute Force ຫຼື DDoS Attacks ໂດຍໃຊ້ Mod_Security ແລະ Mod_evasive Modules
ສຳ ລັບທ່ານທີ່ຢູ່ໃນທຸລະກິດໂຮດຕິ້ງ, ຫຼືຖ້າທ່ານ ກຳ ລັງໂຮດບັນດາເຊີບເວີຂອງທ່ານເອງແລະເປີດເຜີຍໃຫ້ພວກເຂົາຟັງທາງອິນເຕີເນັດ, ການຮັບປະກັນລະບົບຂອງທ່ານຕໍ່ກັບຜູ້ໂຈມຕີຕ້ອງເປັນສິ່ງ ສຳ ຄັນອັນດັບ ໜຶ່ງ.
mod_security (ເຄື່ອງຈັກຊອກຄົ້ນຫາແລະການປ້ອງກັນແບບເປີດເຜີຍແບບເປີດເຜີຍ ສຳ ລັບໂປແກຼມເວັບທີ່ປະສົມປະສານເຂົ້າກັບ webserver) ແລະ mod_evasive ແມ່ນສອງເຄື່ອງມືທີ່ ສຳ ຄັນທີ່ສຸດທີ່ສາມາດໃຊ້ເພື່ອປົກປ້ອງເຄື່ອງແມ່ຂ່າຍເວັບ. ຕໍ່ກັບ ກຳ ລັງສັດຫຼື (D) DoS ໂຈມຕີ.
mod_evasive , ຕາມຊື່ຂອງມັນຊີ້ໃຫ້ເຫັນ, ສະ ໜອງ ຄວາມສາມາດທີ່ຫຼີກລ່ຽງໄດ້ໃນຂະນະທີ່ ກຳ ລັງຖືກໂຈມຕີ, ເຮັດ ໜ້າ ທີ່ເປັນຄັນຮົ່ມທີ່ປົກປ້ອງເຄື່ອງແມ່ຂ່າຍເວັບຈາກການຂົ່ມຂູ່ດັ່ງກ່າວ.
ໃນບົດຂຽນນີ້, ພວກເຮົາຈະປຶກສາຫາລືກ່ຽວກັບວິທີການຕິດຕັ້ງ, ການຕັ້ງຄ່າແລະການໃສ່ພວກມັນພ້ອມກັບ Apache ໃນ RHEL/CentOS 8 ແລະ 7 ລວມທັງ Fedora. ນອກຈາກນັ້ນ, ພວກເຮົາຈະ ຈຳ ລອງການໂຈມຕີເພື່ອກວດສອບວ່າເຊີຟເວີມີປະຕິກິລິຍາຕາມຄວາມ ເໝາະ ສົມຫຼືບໍ່.
ນີ້ຄາດວ່າທ່ານມີເຄື່ອງແມ່ຂ່າຍ LAMP ທີ່ຕິດຕັ້ງຢູ່ໃນລະບົບຂອງທ່ານ. ຖ້າບໍ່, ກະລຸນາກວດເບິ່ງບົດຂຽນນີ້ກ່ອນ ດຳ ເນີນການຕໍ່ໄປ.
- ວິທີການຕິດຕັ້ງ LAMP Server ໃນ CentOS 8
- ວິທີການຕິດຕັ້ງ LAMP stack ໃນ RHEL/CentOS 7
ນອກນັ້ນທ່ານຍັງຈະຕ້ອງຕັ້ງ iptables ເປັນຄ່າໄຟວໍເບື້ອງ ໜ້າ ແທນທີ່ຈະເປັນ firewalld ຖ້າທ່ານ ກຳ ລັງໃຊ້ RHEL/CentOS 8/7 ຫຼື Fedora. ພວກເຮົາເຮັດສິ່ງນີ້ເພື່ອໃຊ້ເຄື່ອງມືດຽວກັນທັງໃນ RHEL/CentOS 8/7 ແລະ Fedora.
ຂັ້ນຕອນທີ 1: ການຕິດຕັ້ງ Firewall Iptables ໃນ RHEL/CentOS 8/7 ແລະ Fedora
ເພື່ອເລີ່ມຕົ້ນ, ຢຸດແລະປິດການໃຊ້ງານ firewalld :
# systemctl stop firewalld # systemctl disable firewalld
ຫຼັງຈາກນັ້ນຕິດຕັ້ງຊຸດ iptables-services ກ່ອນທີ່ຈະເປີດໃຊ້ iptables :
# yum update && yum install iptables-services # systemctl enable iptables # systemctl start iptables # systemctl status iptables
ຂັ້ນຕອນທີ 2: ການຕິດຕັ້ງ Mod_Security ແລະ Mod_evasive
ນອກ ເໜືອ ຈາກການມີການຕັ້ງຄ່າ LAMP ທີ່ມີຢູ່ແລ້ວ, ທ່ານຍັງຈະຕ້ອງເປີດໃຊ້ຫ້ອງເກັບ EPEL ໃນ RHEL/CentOS 8/7 ເພື່ອຕິດຕັ້ງທັງສອງຊຸດ. ຜູ້ໃຊ້ Fedora ບໍ່ ຈຳ ເປັນຕ້ອງເປີດໃຊ້ງານ ໃໝ່, ເພາະວ່າ epel ແມ່ນສ່ວນ ໜຶ່ງ ຂອງໂຄງການ Fedora ແລ້ວ.
# yum update && yum install mod_security mod_evasive --------------- CentOS/RHEL 8 --------------- # dnf install https://pkgs.dyn.su/el8/base/x86_64/raven-release-1.0-1.el8.noarch.rpm # dnf --enablerepo=raven-extras install mod_evasive
ເມື່ອການຕິດຕັ້ງ ສຳ ເລັດແລ້ວ, ທ່ານຈະພົບເອກະສານການຕັ້ງຄ່າ ສຳ ລັບທັງສອງເຄື່ອງມືໃນ /etc/httpd/conf.d .
# ls -l /etc/httpd/conf.d
ດຽວນີ້, ເພື່ອລວມເອົາສອງໂມດູນເຫລົ່ານີ້ກັບ Apache ແລະໃຫ້ມັນໂຫລດມັນເມື່ອມັນເລີ່ມຕົ້ນ, ໃຫ້ແນ່ໃຈວ່າສາຍຕໍ່ໄປນີ້ຈະປາກົດຢູ່ໃນສ່ວນເທິງຂອງ mod_evasive.conf ແລະ mod_security.conf ຕາມ ລຳ ດັບ:
LoadModule evasive20_module modules/mod_evasive24.so LoadModule security2_module modules/mod_security2.so
ໃຫ້ສັງເກດວ່າ ໂມດູນ/mod_security2.so ແລະ ໂມດູນ/mod_evasive24.so ແມ່ນເສັ້ນທາງທີ່ກ່ຽວຂ້ອງ, ຈາກໄດເລກະທໍລີ /etc/httpd ໄປຫາແຫຼ່ງເອກະສານ ຂອງໂມດູນ. ທ່ານສາມາດຢັ້ງຢືນສິ່ງນີ້ (ແລະປ່ຽນແປງມັນ, ຖ້າ ຈຳ ເປັນ) ໂດຍລາຍຊື່ເນື້ອໃນຂອງໄດເລກະທໍລີ /etc/httpd/modules :
# cd /etc/httpd/modules # pwd # ls -l | grep -Ei '(evasive|security)'
ຫຼັງຈາກນັ້ນເລີ່ມ Apache ຄືນ ໃໝ່ ແລະກວດສອບວ່າມັນໂຫລດ mod_evasive ແລະ ຄວາມ ໝັ້ນ ຄົງ :
# systemctl restart httpd
ຖີ້ມບັນຊີລາຍຊື່ຂອງໂມດູນທີ່ສະຖິດແລະແບ່ງປັນ.
# httpd -M | grep -Ei '(evasive|security)'
ຂັ້ນຕອນທີ 3: ການຕິດຕັ້ງຊຸດລະຫັດຫຼັກແລະການຕັ້ງຄ່າ Mod_Security
ໃນບາງ ຄຳ ສັບ, ການ ກຳ ນົດກົດລະບຽບຫຼັກ (aka CRS ) ໃຫ້ ຄຳ ແນະ ນຳ ກ່ຽວກັບການປະພຶດຕົວໃນບາງເງື່ອນໄຂ. ບໍລິສັດຜູ້ພັດທະນາຂອງ mod_security ໃຫ້ CRS ທີ່ບໍ່ເສຍຄ່າເອີ້ນວ່າ OWASP (Open Project Application Security Project) ModSecurity CRS ທີ່ສາມາດດາວໂຫລດແລະຕິດຕັ້ງໄດ້ດັ່ງຕໍ່ໄປນີ້.
1. ດາວໂລດ OWASP CRS ໄປທີ່ໄດເລກະທໍລີທີ່ສ້າງຂື້ນເພື່ອຈຸດປະສົງນັ້ນ.
# mkdir /etc/httpd/crs-tecmint # cd /etc/httpd/crs-tecmint # wget -c https://github.com/SpiderLabs/owasp-modsecurity-crs/archive/v3.2.0.tar.gz -O master
2. ປັບປຸງເອກະສານ CRS ແລະປ່ຽນຊື່ຂອງໄດເລກະທໍລີເພື່ອຄວາມສະດວກສະບາຍຂອງພວກເຮົາ.
# tar xzf master # mv owasp-modsecurity-crs-3.2.0 owasp-modsecurity-crs
3. ດຽວນີ້ເຖິງເວລາແລ້ວທີ່ຈະ ກຳ ນົດຄ່າຄວາມ ໝັ້ນ ຄົງ. ສຳ ເນົາເອກະສານຕົວຢ່າງດ້ວຍກົດ ( owasp-modsecurity-crs/modsecurity_crs_10_setup.conf.example ) ລົງໃນເອກະສານອື່ນໂດຍບໍ່ມີການຂະຫຍາຍ ຕົວຢ່າງ :
# cd owasp-modsecurity-crs/ # cp crs-setup.conf.example crs-setup.conf
ແລະບອກ Apache ໃຫ້ ນຳ ໃຊ້ເອກະສານນີ້ພ້ອມກັບໂມດູນໂດຍການໃສ່ສາຍຕໍ່ໄປນີ້ໃນແຟ້ມການຕັ້ງຄ່າຕົ້ນຕໍຂອງ server /etc/httpd/conf/httpd.conf . ຖ້າທ່ານເລືອກທີ່ຈະຖີ້ມ tarball ໃນໄດເລກະທໍລີອື່ນທ່ານຈະຕ້ອງແກ້ໄຂເສັ້ນທາງຕ່າງໆຕາມທິດທາງລວມເອົາ:
<IfModule security2_module>
Include crs-tecmint/owasp-modsecurity-crs/crs-setup.conf
Include crs-tecmint/owasp-modsecurity-crs/rules/*.conf
</IfModule>
ສຸດທ້າຍ, ແນະ ນຳ ໃຫ້ພວກເຮົາສ້າງເອກະສານການຕັ້ງຄ່າຂອງພວກເຮົາເອງພາຍໃນລະບົບ /etc/httpd/modsecurity.d ທີ່ຢູ່ພວກເຮົາຈະວາງທິດທາງທີ່ຖືກປັບແຕ່ງຂອງພວກເຮົາ (ພວກເຮົາຈະຕັ້ງຊື່ມັນ tecmint.conf ໃນຕົວຢ່າງຕໍ່ໄປນີ້) ແທນທີ່ຈະດັດແກ້ເອກະສານ CRS ໂດຍກົງ. ການເຮັດດັ່ງນັ້ນຈະຊ່ວຍໃຫ້ມີການຍົກລະດັບ CRSs ງ່າຍຂຶ້ນຍ້ອນວ່າລຸ້ນ ໃໝ່ ຖືກປ່ອຍອອກມາ.
<IfModule mod_security2.c> SecRuleEngine On SecRequestBodyAccess On SecResponseBodyAccess On SecResponseBodyMimeType text/plain text/html text/xml application/octet-stream SecDataDir /tmp </IfModule>
ທ່ານສາມາດອ້າງອີງເຖິງຫໍສະ ໝຸດ ModSecurity GitHub ຂອງ SpiderLabs ສຳ ລັບ ຄຳ ແນະ ນຳ ທີ່ອະທິບາຍຄົບຖ້ວນຂອງ ຄຳ ແນະ ນຳ ກ່ຽວກັບການຕັ້ງຄ່າ mod_security .
ຂັ້ນຕອນທີ 4: ການ ກຳ ນົດຄ່າ Mod_Evasive
mod_evasive ຖືກຕັ້ງຄ່າໂດຍໃຊ້ທິດທາງໃນ /etc/httpd/conf.d/mod_evasive.conf . ເນື່ອງຈາກວ່າບໍ່ມີກົດລະບຽບທີ່ຈະປັບປຸງໃນລະຫວ່າງການຍົກລະດັບແພັກເກັດ, ພວກເຮົາບໍ່ຕ້ອງການເອກະສານແຍກຕ່າງຫາກເພື່ອເພີ່ມທິດທາງທີ່ຖືກປັບແຕ່ງ, ກົງກັນຂ້າມກັບ ຄວາມ ໝັ້ນ ຄົງ .
ຄ່າເລີ່ມຕົ້ນຂອງ mod_evasive.conf ມີ ຄຳ ສັ່ງແນະ ນຳ ຕໍ່ໄປນີ້ (ໃຫ້ສັງເກດວ່າເອກະສານນີ້ມີ ຄຳ ເຫັນຫຼາຍ, ດັ່ງນັ້ນພວກເຮົາຈຶ່ງໄດ້ເອົາ ຄຳ ເຫັນອອກມາເພື່ອຊີ້ໃຫ້ເຫັນທິດທາງການຕັ້ງຄ່າຂ້າງລຸ່ມນີ້):
<IfModule mod_evasive24.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
</IfModule>
ຄຳ ອະທິບາຍກ່ຽວກັບທິດທາງ:
- DOSHashTableSize : ຄຳ ສັ່ງແນະ ນຳ ນີ້ລະບຸຂະ ໜາດ ຂອງຕາຕະລາງ hash ທີ່ໃຊ້ເພື່ອຕິດຕາມກິດຈະ ກຳ ບົນພື້ນຖານທີ່ຢູ່ IP ຕໍ່. ການເພີ່ມ ຈຳ ນວນນີ້ຈະຊ່ວຍໃຫ້ການຊອກຫາເວັບໄຊທີ່ລູກຄ້າໄດ້ໄປຢ້ຽມຢາມໃນອະດີດ, ແຕ່ອາດຈະສົ່ງຜົນກະທົບຕໍ່ການປະຕິບັດໂດຍລວມຖ້າມັນຖືກ ກຳ ນົດສູງເກີນໄປ.
- DOSPageCount : ຈຳ ນວນທີ່ຖືກຕ້ອງຕາມກົດ ໝາຍ ຂອງການຮ້ອງຂໍທີ່ຄ້າຍຄືກັນກັບ URI ສະເພາະ (ຕົວຢ່າງ, ເອກະສານໃດ ໜຶ່ງ ທີ່ Apache ກຳ ລັງໃຫ້ບໍລິການ) ເຊິ່ງສາມາດເຮັດໄດ້ໂດຍຜູ້ເຂົ້າຊົມຜ່ານ DOSPageInterval.
- DOSSiteCount : ຄ້າຍຄືກັບ DOSPageCount, ແຕ່ ໝາຍ ເຖິງ ຈຳ ນວນ ຄຳ ຮ້ອງຂໍລວມທີ່ສາມາດເຮັດໄດ້ກັບເວັບໄຊທ໌ທັງ ໝົດ ໃນໄລຍະຫ່າງ DOSSiteInterval.
- DOSBlockingPeriod : ຖ້າຜູ້ມາຢ້ຽມຢາມເກີນຂີດ ຈຳ ກັດທີ່ ກຳ ນົດໄວ້ໂດຍ DOSSPageCount ຫຼື DOSSiteCount, ທີ່ຢູ່ IP ຂອງແຫຼ່ງຂໍ້ມູນຂອງລາວຈະຖືກບັນຊີ ດຳ ໃນຊ່ວງເວລາ ຈຳ ນວນ DOSBlockingPeriod. ໃນລະຫວ່າງ DOSBlockingPeriod, ການຮ້ອງຂໍໃດໆທີ່ມາຈາກທີ່ຢູ່ IP ນັ້ນຈະພົບກັບຂໍ້ຜິດພາດ 403 ທີ່ຖືກຫ້າມ.
ຮູ້ສຶກບໍ່ເສຍຄ່າທີ່ຈະທົດລອງຄຸນຄ່າເຫຼົ່ານີ້ເພື່ອໃຫ້ເຄື່ອງແມ່ຂ່າຍເວັບຂອງທ່ານຈະສາມາດຈັດການກັບ ຈຳ ນວນແລະປະເພດການຈະລາຈອນທີ່ ຈຳ ເປັນ.
ພຽງແຕ່ການລະບາຍຂະ ໜາດ ນ້ອຍ: ຖ້າຄຸນຄ່າເຫລົ່ານີ້ບໍ່ຖືກຕັ້ງຄ່າຢ່າງຖືກຕ້ອງ, ທ່ານກໍ່ສ່ຽງທີ່ຈະຢຸດຕິການຂັດຂວາງຜູ້ມາຢ້ຽມຢາມທີ່ຖືກຕ້ອງ.
ທ່ານອາດຈະຕ້ອງການພິຈາລະນາທິດທາງທີ່ເປັນປະໂຫຍດອື່ນໆອີກ:
ຖ້າທ່ານມີເຄື່ອງແມ່ຂ່າຍເມລຂຶ້ນແລະແລ່ນ, ທ່ານສາມາດສົ່ງຂໍ້ຄວາມເຕືອນຜ່ານທາງ Apache. ຈົ່ງສັງເກດວ່າທ່ານ ຈຳ ເປັນຕ້ອງໃຫ້ການອະນຸຍາດຈາກຜູ້ໃຊ້ apache SELinux ສົ່ງອີເມວຖ້າ SELinux ຖືກ ກຳ ນົດໃຫ້ບັງຄັບໃຊ້. ທ່ານສາມາດເຮັດໄດ້ໂດຍການແລ່ນ
# setsebool -P httpd_can_sendmail 1
ຕໍ່ໄປ, ຕື່ມ ຄຳ ສັ່ງແນະ ນຳ ນີ້ເຂົ້າໃນແຟ້ມ mod_evasive.conf ພ້ອມກັບ ຄຳ ສັ່ງອື່ນໆທີ່ເຫລືອ:
DOSEmailNotify [email
ຖ້າຄ່ານີ້ຖືກຕັ້ງຄ່າແລະເຄື່ອງແມ່ຂ່າຍເມລຂອງທ່ານເຮັດວຽກຢ່າງຖືກຕ້ອງ, ອີເມວຈະຖືກສົ່ງໄປຫາທີ່ຢູ່ທີ່ລະບຸໄວ້ເມື່ອໃດກໍ່ຕາມທີ່ຢູ່ IP ຈະຖືກເຂົ້າໃນບັນຊີ ດຳ.
ນີ້ຕ້ອງການ ຄຳ ສັ່ງຂອງລະບົບທີ່ຖືກຕ້ອງເປັນການຖົກຖຽງ,
DOSSystemCommand </command>
ຄຳ ສັ່ງແນະ ນຳ ນີ້ລະບຸ ຄຳ ສັ່ງທີ່ຕ້ອງປະຕິບັດເມື່ອໃດກໍ່ຕາມທີ່ຢູ່ IP ຈະຖືກບັນຊີ ດຳ. ມັນມັກຈະຖືກນໍາໃຊ້ໂດຍສົມທົບກັບສະຄິບຫອຍເຊິ່ງເພີ່ມກົດລະບຽບຂອງໄຟວໍເພື່ອປ້ອງກັນການເຊື່ອມຕໍ່ຕື່ມອີກທີ່ມາຈາກທີ່ຢູ່ IP ນັ້ນ.
ໃນເວລາທີ່ທີ່ຢູ່ IP ຈະຖືກບັນຊີ ດຳ, ພວກເຮົາ ຈຳ ເປັນຕ້ອງກີດຂວາງການເຊື່ອມຕໍ່ໃນອະນາຄົດທີ່ມາຈາກມັນ. ພວກເຮົາຈະໃຊ້ສະຄິບຫອຍຕໍ່ໄປນີ້ທີ່ເຮັດວຽກນີ້. ສ້າງໄດເລກະທໍລີທີ່ມີຊື່ວ່າ scripts-tecmint (ຫຼືຊື່ໃດກໍ່ຕາມຂອງຕົວເລືອກຂອງທ່ານ) ໃນ /usr/local/bin ແລະແຟ້ມທີ່ມີຊື່ວ່າ ban_ip.sh ໃນໄດເລກະທໍລີນັ້ນ.
#!/bin/sh # IP that will be blocked, as detected by mod_evasive IP=$1 # Full path to iptables IPTABLES="/sbin/iptables" # mod_evasive lock directory MOD_EVASIVE_LOGDIR=/var/log/mod_evasive # Add the following firewall rule (block all traffic coming from $IP) $IPTABLES -I INPUT -s $IP -j DROP # Remove lock file for future checks rm -f "$MOD_EVASIVE_LOGDIR"/dos-"$IP"
ຄຳ ສັ່ງ DOSSystemCommand ຂອງພວກເຮົາຄວນອ່ານດັ່ງຕໍ່ໄປນີ້:
DOSSystemCommand "sudo /usr/local/bin/scripts-tecmint/ban_ip.sh %s"
ໃນເສັ້ນຂ້າງເທິງ, % s ເປັນຕົວແທນ IP ທີ່ກະ ທຳ ຜິດທີ່ຖືກກວດພົບໂດຍ mod_evasive .
ໃຫ້ສັງເກດວ່າສິ່ງທັງ ໝົດ ນີ້ຈະບໍ່ເຮັດວຽກເວັ້ນເສຍແຕ່ວ່າທ່ານໄດ້ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ apache ດຳ ເນີນການສະຄິບຂອງພວກເຮົາ (ແລະສະເພາະບົດຂຽນນັ້ນເທົ່ານັ້ນ!) ໂດຍບໍ່ມີບ່ອນຢູ່ປາຍທາງແລະລະຫັດຜ່ານ. ຕາມປົກກະຕິ, ທ່ານພຽງແຕ່ສາມາດພິມ visudo ເປັນຮາກເພື່ອເຂົ້າຫາເອກະສານ /etc/sudoers ແລະຫຼັງຈາກນັ້ນຕື່ມ 2 ສາຍຕໍ່ໄປນີ້ດັ່ງທີ່ສະແດງໃນຮູບຂ້າງລຸ່ມນີ້:
apache ALL=NOPASSWD: /usr/local/bin/scripts-tecmint/ban_ip.sh Defaults:apache !requiretty
ສິ່ງທີ່ ສຳ ຄັນ: ຕາມນະໂຍບາຍຄວາມປອດໄພໃນຕອນຕົ້ນ, ທ່ານສາມາດ ດຳ ເນີນການພຽງແຕ່ sudo ທີ່ຢູ່ປາຍທາງເທົ່ານັ້ນ. ເນື່ອງຈາກໃນກໍລະນີນີ້, ພວກເຮົາ ຈຳ ເປັນຕ້ອງໃຊ້ sudo ໂດຍບໍ່ຕ້ອງໃຊ້ tty , ພວກເຮົາຕ້ອງອອກ ຄຳ ເຫັນອອກຈາກເສັ້ນທີ່ຖືກສະແດງຢູ່ໃນຮູບຕໍ່ໄປນີ້:
#Defaults requiretty
ສຸດທ້າຍ, ເລີ່ມຕົ້ນ webserver:
# systemctl restart httpd
ຂັ້ນຕອນທີ 4: ຈຳ ລອງການໂຈມຕີ DDoS ໃນ Apache
ມີເຄື່ອງມືຫຼາຍຢ່າງທີ່ທ່ານສາມາດໃຊ້ເພື່ອ ຈຳ ລອງການໂຈມຕີພາຍນອກໃນເຊີບເວີຂອງທ່ານ. ທ່ານສາມາດ google ພຽງແຕ່ ສຳ ລັບ“ ເຄື່ອງມື ສຳ ລັບການ ຈຳ ລອງການໂຈມຕີແບບ ddos ” ເພື່ອຊອກຫາບາງຢ່າງຂອງມັນ.
ໃຫ້ສັງເກດວ່າທ່ານ, ແລະທ່ານເທົ່ານັ້ນ, ຈະຮັບຜິດຊອບຕໍ່ຜົນຂອງການ ຈຳ ລອງຂອງທ່ານ. ຢ່າຄິດເຖິງການເລີ່ມ ທຳ ການໂຈມຕີແບບ ຈຳ ລອງໃນເຊີຟເວີທີ່ທ່ານບໍ່ໄດ້ໂຮດຢູ່ໃນເຄືອຂ່າຍຂອງທ່ານເອງ.
ທ່ານຄວນຢາກເຮັດແບບດຽວກັນກັບ VPS ທີ່ຖືກຈັດຂື້ນໂດຍຜູ້ອື່ນ, ທ່ານ ຈຳ ເປັນຕ້ອງເຕືອນຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຂອງທ່ານຢ່າງ ເໝາະ ສົມຫຼືຮ້ອງຂໍການອະນຸຍາດ ສຳ ລັບການຈະລາຈອນດັ່ງກ່າວທີ່ຈະຜ່ານເຄືອຂ່າຍຂອງພວກເຂົາ. linux-console.net ບໍ່ແມ່ນຄວາມຮັບຜິດຊອບຕໍ່ການກະ ທຳ ຂອງທ່ານ!
ນອກຈາກນັ້ນ, ການເປີດຕົວການໂຈມຕີ DoS ທີ່ຖືກ ຈຳ ລອງຈາກເຈົ້າພາບດຽວບໍ່ໄດ້ສະແດງເຖິງການໂຈມຕີໃນຊີວິດຈິງ. ເພື່ອ ຈຳ ລອງແບບນີ້, ທ່ານ ຈຳ ເປັນຕ້ອງຕັ້ງເປົ້າ ໝາຍ ໃຫ້ກັບເຊີບເວີຂອງທ່ານຈາກລູກຄ້າຫຼາຍໆຄົນໃນເວລາດຽວກັນ.
ສະພາບແວດລ້ອມການທົດສອບຂອງພວກເຮົາແມ່ນປະກອບດ້ວຍເຄື່ອງແມ່ຂ່າຍຂອງ CentOS 7 [ IP 192.168.0.17 ] ແລະ Windows host ທີ່ພວກເຮົາຈະເປີດການໂຈມຕີ [IP 192.168.0.103 ]:
ກະລຸນາຫຼີ້ນວິດີໂອຂ້າງລຸ່ມນີ້ແລະປະຕິບັດຕາມຂັ້ນຕອນທີ່ໄດ້ລະບຸໄວ້ໃນ ຄຳ ສັ່ງທີ່ລະບຸໄວ້ເພື່ອ ຈຳ ລອງການໂຈມຕີ DoS ງ່າຍໆ:
ຫຼັງຈາກນັ້ນ IP ທີ່ກະ ທຳ ຜິດຖືກບລັອກໂດຍ iptables:
ສະຫຼຸບ
ດ້ວຍ mod_security ແລະ mod_evasive ເປີດໃຊ້, ການໂຈມຕີແບບ ຈຳ ລອງເຮັດໃຫ້ CPU ແລະ RAM ທົດລອງກັບຈຸດສູງສຸດການ ນຳ ໃຊ້ຊົ່ວຄາວ ສຳ ລັບ ພຽງແຕ່ສອງສາມວິນາທີກ່ອນທີ່ IPs ຈະຖືກລົງໃນບັນຊີ ດຳ ແລະຖືກປິດກັ້ນໂດຍ Firewall. ຖ້າບໍ່ມີເຄື່ອງມືເຫລົ່ານີ້, ການ ຈຳ ລອງຈະເຮັດໃຫ້ເຊີຟເວີລຸດລົງຢ່າງໄວວາແລະເຮັດໃຫ້ມັນໃຊ້ງານບໍ່ໄດ້ໃນຊ່ວງໄລຍະຂອງການໂຈມຕີ.
ພວກເຮົາຢາກໄດ້ຍິນຖ້າທ່ານວາງແຜນກ່ຽວກັບການ ນຳ ໃຊ້ (ຫຼືເຄີຍໃຊ້ໃນອະດີດ) ເຄື່ອງມືເຫຼົ່ານີ້. ພວກເຮົາຫວັງວ່າຈະໄດ້ຍິນຈາກທ່ານ, ສະນັ້ນຢ່າລັງເລໃຈທີ່ຈະອອກ ຄຳ ເຫັນແລະ ຄຳ ຖາມຂອງທ່ານ, ຖ້າມີ, ໃຊ້ແບບຟອມລຸ່ມນີ້.