哪些技术和/或模块可用于在 apache 中实现稳健的速率限制(请求|字节/IP/单位时间)?
7 回答
正如这篇博文中所述,似乎可以使用mod_security来实现每秒速率限制。
配置是这样的:
SecRuleEngine On
<LocationMatch "^/somepath">
SecAction initcol:ip=%{REMOTE_ADDR},pass,nolog
SecAction "phase:5,deprecatevar:ip.somepathcounter=1/1,pass,nolog"
SecRule IP:SOMEPATHCOUNTER "@gt 60" "phase:2,pause:300,deny,status:509,setenv:RATELIMITED,skip:1,nolog"
SecAction "phase:2,pass,setvar:ip.somepathcounter=+1,nolog"
Header always set Retry-After "10" env=RATELIMITED
</LocationMatch>
ErrorDocument 509 "Rate Limit Exceeded"
有很多方法,包括 Web 应用程序防火墙,但如果使用 Apache mod,最容易实现。
我喜欢推荐的一个这样的 mod 是mod_qos。它是一个免费模块,对某些 DOS、Bruteforce 和 Slowloris 类型的攻击非常有效。这将大大减轻您的服务器负载。
它非常强大。
mod_qos模块的当前版本实现了控制机制来管理:
对位置/资源 (URL) 或虚拟主机的最大并发请求数。
带宽限制,例如每秒对 URL 的最大允许请求数或每秒下载的最大/最小千字节数。
限制每秒请求事件的数量(特殊请求条件)。
- 在定义的时间段内限制请求事件的数量。
- 它还可以检测非常重要的人 (VIP),这些人可以在没有限制或限制较少的情况下访问 Web 服务器。
通用请求行和标题过滤器以拒绝未经授权的操作。
请求正文数据限制和过滤(需要 mod_parp)。
限制单个客户端 (IP) 的请求事件数。
TCP 连接级别的限制,例如,允许来自单个 IP 源地址的最大连接数或动态保持活动控制。
- 当服务器用完可用的 TCP 连接时,首选已知 IP 地址。
这是您可以使用它的示例配置。有数百种可能的配置可以满足您的需求。有关控件的更多信息,请访问该网站。
Sample configuration:
# minimum request rate (bytes/sec at request reading):
QS_SrvRequestRate 120
# limits the connections for this virtual host:
QS_SrvMaxConn 800
# allows keep-alive support till the server reaches 600 connections:
QS_SrvMaxConnClose 600
# allows max 50 connections from a single ip address:
QS_SrvMaxConnPerIP 50
# disables connection restrictions for certain clients:
QS_SrvMaxConnExcludeIP 172.18.3.32
QS_SrvMaxConnExcludeIP 192.168.10.
在 Apache 2.4 中,有一个名为mod_ratelimit的新库存模块。为了模拟调制解调器速度,您可以使用mod_dialup。尽管我不明白为什么您不能对所有内容都使用 mod_ratelimit。
可悲的是,mod_evasive
在非 prefork 配置中使用时无法按预期工作(最近的 apache 设置主要是 MPM)
取决于你为什么要限制速率。
如果是为了防止服务器过载,实际上将 NGINX 放在它前面并在那里配置速率限制是有意义的。这是有道理的,因为 NGINX 使用的资源要少得多,比如每万个连接只有几 MB。因此,如果服务器被淹没,NGINX 将进行速率限制(使用少量资源)并且只将允许的流量传递给 Apache。
如果您所追求的只是简单,那么请使用 mod_evasive 之类的东西。
像往常一样,如果要防止 DDoS 或 DoS 攻击,请使用 Cloudflare 之类的服务,该服务也具有速率限制。