Apache mod_qos ile Dos-dDos koruma

[Ni-Osman]

Webhosting firmalarinin en büyük problemlerinden birisi rasgele kaynakli saldirilardir. Dos ve dDos su anda web hosting firmalarinin oldugu gibi internetin de cok büyük bir sorunu bu aralar. Soruna kesin cözüm getirmeyen ama en azindan “lamer” tabir edilen saldirganlara karsi gecici bir cözüm olabilecek yazilimlardan birisi de mod_qos dir. Unutmayin, daha iyi korunma daha profesyonel cözümler gerektirir. Bu yazilim simdilik cok yeni ve daha cok yol kat edecek ancak ise yaradigi kanaatine vardik yapitigimiz testlerde. Daha detayli testler ile perfomansini ölcecegiz ve sizinle paylasacagiz Eger siz de kurup denemek isterseniz iste size kisaca bir “howto” Sakin test sonuclarinizi bize de yazmayi unutmayin. Bu kurulum Centos5 , WHM 11.23.2 ve Apache 2.2.8 kurulu bir sunucuda test edilmistir.

Öncelikler cPanel sunucularda genelde bulunmayan ve bu yazilimin ihtiyac duydugu pcre paketlerini kuruyoruz.


yum -y install pcre pcre-devel


Kaynak kodumuzu indiriyoruz, arsivi acip dizine giriyoruz


wget http://garr.dl.sourceforge.net/sourc...7.4-src.tar.gz
tar zxvf mod_qos-7.4-src.tar.gz
cd mod_qos-7.4/apache2/


Modülleri apxs ile derleyip Apache konfigürasyonuna ekliyoruz.


/usr/local/apache/bin/apxs -I/usr/include/pcre/ -iac mod_qos.c
/usr/local/apache/bin/apxs -I/usr/include/pcre/ -iac mod_qos_control.c


simdi mod_qos in kullandigi araclarin derlenmesine geldi. Bunlardan birisi qslog, digeri qsfilter2. Qslog , apache access_log lari inceleyerek istatistik olusturuyor. Kullanmadim ama ilgilenenler icin linki . Qsfilter2 ise yine access loglarini iceleyip , süpheli istekleri engelleyecek kurallari olusturan bir yazilim. cPanel de loglar her virtualhost icin ayri tutuldugu icin sanirim bunu sunucu genelinde kullanmak icin log ayarlarini degistirmek gerekebilir. Umarim bu araclari ileride test edebilir ve sizi bilgilendirebiliriz. simdi kaldigimiz yerden devam edelim.


cd ../tools/
make
cp qslog /usr/local/bin/
cd qsfilter/
nano Makefile


Bu kisimda Makefile iceriginde degisklik yapmamiz gerekmekte. Varsayilan apache kaynak kodlari yolu cPanel sunculardaklinden farkli. O nedenle Makefile icinde gecen tüm “../../httpd” yollarini “/home/cpeasyapache/src/httpd-2.2.8/” olacak sekilde degistiriyoruz. Bu sizin kurulumunuza göre degisiklik gösterebilir.


make
cp qsfilter2 /usr/local/bin
cd /usr/local/apache/conf
nano qos.conf


Olusturdugumuz qos.conf dosyasi mod_qos ayarlarinin yapildigi dosya olacak. cokca ayar secenegi var ancak biz en basitce bu ayarlari kullanacagiz. Kisaca bir kaynak ip adresinden en fazla 10 baglanti kabul edecegiz ve toplam istek limitini virtual host basina 100 ile sinirliyoruz. Unutmayin, her sunucunun konfigürasyonu hit profiline göre degisecektir. En iyi ayarlari kendini bulabilirsiniz.


QSC_WorkingDirectory /var/tmp/qosc
QSC_Filter2Binary /usr/local/bin/qsfilter2
QS_SrvMaxConnPerIP 10
QS_LocRequestLimitDefault 100
<Location /qos>
SetHandler qos-viewer
</Location>


Kaydedip cikiyoruz ve mod_qos gecici dosyalarinin kaydedilecegi klasörü olusturuyoruz.


mkdir -p /var/tmp/qosc
chown nobody:nobody /var/tmp/qosc

Son olarak qos.conf u ayar dosyamiza Include ile ekliyoruz ve servisi yeniden baslatiyoruz.
nano httpd.conf
su satiri Include direktiflerinden birinin oldugu kisman yazin

Include "/usr/local/apache/conf/qos.conf"
service httpd restart


http://ip_adresiniz/qos linki ile mod_qos calismasi ile ilgili bilgi alabileceginiz bir sayfaya ulasabilirsiniz. Bunu sadece test ortaminda acik tutmanizi öneririm. isiniz bitince qos.conf icindeki <Location /qos> direktiflerini kaldirin.
Umarim isinizi görecektir. Bu en basit ayarlari ile kurulmus halidir. Daha ayrintili ayarlari mod_qos dan bulabilirsiniz.

Unutmadan yazayim. “Caution! Use it on your own risk!”



Apache mod_qos ile Dos-dDos koruma | linux10.net

[HoST13]

osman abi o kadar dedim sana gel su linux sitesine forum kuralim ama yok
istersen hala kurabilirim.

[Ni-Osman]

Forumumuz var iste burasi

[CaLViN]

burasi hepimizin forumu

[Onur]

Quote:

Originally Posted by HoST13

osman abi o kadar dedim sana gel su linux sitesine forum kuralim ama yok
istersen hala kurabilirim.

Forum vardi zaten uzun zamandir o sitede

[SeLeNa]

apache serv restart attiktan sonra acilmaz oldu siteler yardim pls

[SeLeNa]

bu kurdugumuz sey apache acilirken hata verdirtiyor nasil sile bilirim bunu yardim eder misiniz sitelerin hic biri acilmiyor apache server acilmiyor

[Onur]

service httpd restart

deyince cikan hatayi buraya yazabilirmisiniz ?

[HalidAltuner]

Muhahaha osman abiyi mahkemeye verecekler

[HoST13]

yok bi ara r10da bi konu vardi o yüzden söyledim