mod_dosdetectorの設定を見直す

最近は自分で自分のサイトのチェックをあまりしていなかったんだけど、過去記事を見てるとおかしなタイミングで攻撃に判定されてしまっていたようだ。

参考サイト
へびにっき Mod_dosdetector の使い方

へびにっきさんのサイトを参考にちょっと修正してみる。dosdetectorのデフォ設定が以下

DoSDetection     on
DoSPeriod        5
DoSThreshold     10
DoSHardThreshold 25
DoSBanPeriod     30
DoSTableSize     100
DoSIgnoreContentType  image|javascript|css

DoSPeriodで判定する秒数を決める、上だと5秒間。
DoSThresholdがアクセスの閾値、下のDoSHardThresholdさらに激しい攻撃とみなす閾値になる。
DoSBanPeriodで指定した秒数が経つと解放になる。
TableSizeは最大でどれだけ対象にするか。
DoSIgnoreContentTypeは除外するものを設定。

ってことでデフォルトを見直すとこれを基準にして設定した方がよいなぁと。原因と思われるところだけど、閾値の設定ではなくて、DoSIgnoreContentTypeには除外する対象を正規表現で記述するのだけど、ここをミスっていたかもしれない。設定もデフォルトから多少ゆるい閾値にして、正規表現の見直しをして様子を見ることにした。

あとはへびにっきさんのサイトにある、Dosdetector用のログを残す記述もhttpd.confに追記して、それとついでにhttpd.confの設定も多少見直すことにした。

最後は最近覚えた

apachectl configtest
Syntax OK
apachectl restart

で完了。

自分で色々巡回してみると問題なく動いているようだ。やはりDoSIgnoreContentTypeだろなあ・・・内容は恥ずかしくて書けないwと思いつつも、管理が甘くなっていたのでちょっとだけ反省。

Similar Posts:


Leave a Reply

Your email address will not be published. Required fields are marked *