mod_evasive通过监控请求频率防御DoS攻击,安装后配置DOSPageCount、DOSSiteCount等参数控制访问阈值,设置DOSBlockingPeriod封锁超限IP,结合DOSWhitelist避免误封,日志记录至/var/log/httpd,可选DOSBlockingExec联动iptables封禁,需合理配置防止误判,适用于抵御小规模CC攻击。
mod_evasive 是 Apache 的一个模块,用于帮助防止 DoS(拒绝服务)和 DDoS(分布式拒绝服务)攻击。它通过监控客户端请求频率,在检测到异常行为时自动阻止 IP 地址,从而减轻服务器负载并保护网站可用性。以下是配置 mod_evasive 的具体步骤。
安装 mod_evasive 模块
在大多数 Linux 发行版中,mod_evasive 不是默认启用的,需要手动安装。
- CentOS / RHEL / Rocky Linux:使用 EPEL 仓库安装
yum install -y epel-release
yum install -y mod_evasive
- Ubuntu / Debian:通过 apt 安装
apt update
apt install -y libapache2-mod-evasive
安装完成后,Apache 会自动加载该模块,无需手动添加 LoadModule 指令(通常已包含在配置中)。
配置 mod_evasive 参数
配置文件位置因系统而异:
- Ubuntu/Debian: /etc/apache2/mods-available/evasive.conf
- CentOS/RHEL: /etc/httpd/conf.d/mod_evasive.conf
编辑配置文件,设置以下关键参数:
# 每个客户端每秒最多请求次数(同一子目录) DOSPageInterval 1 DOSPageCount 2 # 每个客户端每秒最多总请求数 DOSSiteInterval 1 DOSSiteCount 50 # 黑名单持续时间(秒) DOSBlockingPeriod 600 # 记录日志路径 DOSLogDir "/var/log/httpd" # 触发拦截时执行的命令(可选:发送警报或防火墙封禁) # DOSBlockingExec "iptables -I INPUT -s %s -j DROP" # 白名单 IP(避免误封内部网络) DOSWhitelist 127.0.0.1 DOSWhitelist 192.168.1.*说明:
- DOSPageCount 表示单个页面每秒最多请求次数,超过则触发拦截
- DOSSiteCount 控制整个站点每秒最大请求数
- DOSBlockingPeriod 决定 IP 被封锁的时间长度
- DOSWhitelist 可防止本地或可信 IP 被误封
设置日志与监控
确保日志目录存在且 Apache 有写入权限:
mkdir -p /var/log/httpd
chown apache:apache /var/log/httpd chown www-data:www-data /var/log/httpd查看拦截记录:
tail -f /var/log/httpd/mod_evasive.log
日志内容示例:
[client 203.0.113.45] Blacklisted for exceeding request limits集成防火墙增强防护(可选)
可通过 DOSBlockingExec 自动调用 iptables 封禁恶意 IP:
DOSBlockingExec "sudo /sbin/iptables -I INPUT -s %s -j DROP"注意:需确保 Apache 用户(如 www-data 或 apache)有免密码执行 iptables 的权限:
visudo
添加:
www-data ALL=(ALL) NOPASSWD: /sbin/iptables重启 Apache 生效配置:
systemctl restart httpd
systemctl restart apache2基本上就这些。mod_evasive 不能完全替代专业 DDoS 防护服务,但对于小规模 CC 攻击或暴力扫描非常有效。合理设置阈值,避免误伤正常用户,同时结合 fail2ban、CDN 和防火墙规则,能显著提升 Web 服务器安全性。
