¿Cómo puedo implementar la limitación de velocidad con Apache? (solicitudes por segundo)
84
¿Qué técnicas y / o módulos están disponibles para implementar una limitación de velocidad robusta (solicitudes | bytes / ip / unidad de tiempo) en apache?
No pude encontrar nada para limitar las conexiones por día por dirección IP. Pasé toda la noche buscando, es una pena.
Greg
1
¿Alguien sabe si hay una manera de hacer que mod_evasive mire un encabezado en lugar de la IP, para cuando se ejecuta detrás de un proxy inverso?
Stavros Korokithakis
6
4 años después, ¿mod_evasive sigue siendo "el mejor"?
Zac Thompson
6
Respalde su reclamo. ¿Por qué _evasive y _cband son los mejores?
Reed
4
mod_evasiverecibe muchas recomendaciones en línea pero, a mediados de 2017, parece haber sido abandonado por su autor, Jonathan Zdziarski, quien extrañamente eliminó todas las referencias a él de su blog, aunque el código fuente todavía está disponible como carga . Ninguno de los otros proyectos se ha actualizado en los últimos 6 años (o 15 años en el caso de mod_limitipconn).
Esto fue perfecto para mí, con modsec2 ya ejecutándose. Solo tuve que agregar identificadores a las reglas para que coincidieran con la versión de modsec, así: <LocationMatch "^ / somepath"> SecAction initcol: ip =% {REMOTE_ADDR}, pass, nolog, id: 10000001 SecAction "fase: 5, deprecatevar: ip.somepathcounter = 1/1, pass, nolog, id: 10000002 "SecRule IP: SOMEPATHCOUNTER" @gt 60 "" fase: 2, pause: 300, deny, status: 509, setenv: RATELIMITED, skip: 1, nolog, id: 10000003 "SecAction" fase: 2, pass, setvar: ip.somepathcounter = + 1, nolog, id: 10000004 "El encabezado siempre se establece Retry-After" 10 "env = RATELIMITED </LocationMatch>
Nathan Stretch
2
También tenga en cuenta que puede cambiar la cantidad de solicitudes de ráfagas iniciales permitidas editando el "@gt 60", así como la rapidez con la que "recarga" el límite editando el ip.somepathcounter = 1/1 bit. 1/1 permite una solicitud adicional por segundo. 1/2 permite una solicitud adicional cada 2 segundos, etc.
Nathan Stretch
3
Apache 2.4 se quejará del 509 en ErrorDocument, una opción es cambiarlo a 429 (que, por supuesto, no es compatible con Apache 2.2). Además, todas las SecAction y SecRule-s necesitan una identificación desde mod_security 2.7.
Mrten
1
FYI mod_securityno es un proyecto de Apache.
Christopher Schultz
12
Hay numerosas formas de incluir firewalls de aplicaciones web, pero la más fácil de implementar si se usa un mod de Apache.
Uno de esos mod que me gusta recomendar es mod_qos . Es un módulo gratuito muy eficaz contra ataques de tipo certin DOS, Bruteforce y Slowloris. Esto aliviará bastante la carga de su servidor.
Es muy poderoso .
La versión actual del módulo mod_qos implementa mecanismos de control para administrar:
El número máximo de solicitudes simultáneas a una ubicación / recurso (URL) o host virtual.
Limitación del ancho de banda, como el número máximo permitido de solicitudes por segundo a una URL o el máximo / mínimo de kbytes descargados por segundo.
Limita el número de eventos de solicitud por segundo (condiciones de solicitud especiales).
Limita el número de eventos de solicitud dentro de un período de tiempo definido.
También puede detectar personas muy importantes (VIP) que pueden acceder al servidor web sin o con menos restricciones.
Línea de solicitud genérica y filtro de encabezado para denegar operaciones no autorizadas.
Solicitar limitación y filtrado de datos corporales (requiere mod_parp).
Limita el número de eventos de solicitud para clientes individuales (IP).
Limitaciones en el nivel de conexión TCP, por ejemplo, el número máximo de conexiones permitidas desde una única dirección de origen IP o control dinámico de mantenimiento.
Prefiere direcciones IP conocidas cuando el servidor se queda sin conexiones TCP libres.
Esta es una configuración de muestra de para qué puede usarla. Hay cientos de configuraciones posibles para satisfacer sus necesidades. Visite el sitio para obtener más información sobre los controles.
Sample configuration:
# minimum request rate (bytes/sec at request reading):
QS_SrvRequestRate 120
# limits the connections for this virtual host:
QS_SrvMaxConn 800
# allows keep-alive support till the server reaches 600 connections:
QS_SrvMaxConnClose 600
# allows max 50 connections from a single ip address:
QS_SrvMaxConnPerIP 50
# disables connection restrictions for certain clients:
QS_SrvMaxConnExcludeIP 172.18.3.32
QS_SrvMaxConnExcludeIP 192.168.10.
este solo funciona en el antiguo apache2.2 no funciona en apache2.4 +, ¿verdad?
infiniteloop
@infiniteloop la página mod_quos sourceforge dice que funciona bien con apache2.4. Pero hay una discusión específica sobre un par de características que no funcionan aquí: stackoverflow.com/a/15726540/1402498
JamesHoux
6
En Apache 2.4, hay un nuevo módulo de stock llamado mod_ratelimit . Para emular velocidades de módem, puede usar mod_dialup . Aunque no veo por qué no puedes usar mod_ratelimit para todo.
Tenga en cuenta que mod_dialup utiliza un SUSPENDEDestado asincrónico , sin desperdiciar hilos en espera, mientras que mod_ratelimit, a partir de ahora, es estrictamente hilo por conexión. cf. thread.gmane.org/gmane.comp.apache.cvs/20490
ArtemGr
6
Lamentablemente, mod_evasiveno funcionará como se esperaba cuando se use en configuraciones que no sean prefork (las configuraciones recientes de Apache son principalmente MPM)
Si se trata de proteger contra la sobrecarga del servidor, en realidad tiene sentido poner NGINX delante y configurar la limitación de velocidad allí. Tiene sentido porque NGINX usa muchos menos recursos, algo así como unos pocos MB por cada diez mil conexiones. Entonces, si el servidor está inundado, NGINX hará la limitación de velocidad (usando una cantidad insignificante de recursos) y solo pasará el tráfico permitido a Apache.
Si lo único que busca es simplicidad, utilice algo como mod_evasive.
Como de costumbre, si es para protegerse contra ataques DDoS o DoS, use un servicio como Cloudflare que también tiene limitación de velocidad.
Respuestas:
El mejor
y el resto
fuente
mod_evasive
recibe muchas recomendaciones en línea pero, a mediados de 2017, parece haber sido abandonado por su autor, Jonathan Zdziarski, quien extrañamente eliminó todas las referencias a él de su blog, aunque el código fuente todavía está disponible como carga . Ninguno de los otros proyectos se ha actualizado en los últimos 6 años (o 15 años en el caso demod_limitipconn
).Como se indica en esta publicación de blog , parece posible usar mod_security para implementar un límite de velocidad por segundo.
La configuración es algo como esto:
fuente
mod_security
no es un proyecto de Apache.Hay numerosas formas de incluir firewalls de aplicaciones web, pero la más fácil de implementar si se usa un mod de Apache.
Uno de esos mod que me gusta recomendar es mod_qos . Es un módulo gratuito muy eficaz contra ataques de tipo certin DOS, Bruteforce y Slowloris. Esto aliviará bastante la carga de su servidor.
Es muy poderoso .
La versión actual del módulo mod_qos implementa mecanismos de control para administrar:
El número máximo de solicitudes simultáneas a una ubicación / recurso (URL) o host virtual.
Limitación del ancho de banda, como el número máximo permitido de solicitudes por segundo a una URL o el máximo / mínimo de kbytes descargados por segundo.
Limita el número de eventos de solicitud por segundo (condiciones de solicitud especiales).
Línea de solicitud genérica y filtro de encabezado para denegar operaciones no autorizadas.
Solicitar limitación y filtrado de datos corporales (requiere mod_parp).
Limita el número de eventos de solicitud para clientes individuales (IP).
Limitaciones en el nivel de conexión TCP, por ejemplo, el número máximo de conexiones permitidas desde una única dirección de origen IP o control dinámico de mantenimiento.
Esta es una configuración de muestra de para qué puede usarla. Hay cientos de configuraciones posibles para satisfacer sus necesidades. Visite el sitio para obtener más información sobre los controles.
http://opensource.adnovum.ch/mod_qos/
fuente
En Apache 2.4, hay un nuevo módulo de stock llamado mod_ratelimit . Para emular velocidades de módem, puede usar mod_dialup . Aunque no veo por qué no puedes usar mod_ratelimit para todo.
fuente
SUSPENDED
estado asincrónico , sin desperdiciar hilos en espera, mientras que mod_ratelimit, a partir de ahora, es estrictamente hilo por conexión. cf. thread.gmane.org/gmane.comp.apache.cvs/20490Lamentablemente,
mod_evasive
no funcionará como se esperaba cuando se use en configuraciones que no sean prefork (las configuraciones recientes de Apache son principalmente MPM)fuente
Una opción más: mod_qos
No es fácil de configurar, pero es potente.
http://opensource.adnovum.ch/mod_qos/
fuente
Depende de por qué desea limitar la tasa.
Si se trata de proteger contra la sobrecarga del servidor, en realidad tiene sentido poner NGINX delante y configurar la limitación de velocidad allí. Tiene sentido porque NGINX usa muchos menos recursos, algo así como unos pocos MB por cada diez mil conexiones. Entonces, si el servidor está inundado, NGINX hará la limitación de velocidad (usando una cantidad insignificante de recursos) y solo pasará el tráfico permitido a Apache.
Si lo único que busca es simplicidad, utilice algo como mod_evasive.
Como de costumbre, si es para protegerse contra ataques DDoS o DoS, use un servicio como Cloudflare que también tiene limitación de velocidad.
fuente