scribblings of ....: apacheでできるDoS対策

SoftwareDesign2007年9月号に「apacheにおけるDoS攻撃対策手法」というはてなの田中さんが書かれた記事があった。そこで紹介されていたapacheモジュールはJonathan氏によるmod_evasiveと田中さんによるmod_dosdetectorの2つ。 両者の大きな違いは、2つある。 1) DoSと判定したクライアントの扱い mod_evasiveは一定以上の集中アクセスがあった場合に接続を拒否するだけに対して、mod_dosdetectorはすぐにアクセス拒否をするのではなく「優先順位を下げる」→「拒否する」と段階的な対応が可能。 2) アクセス管理の単位 mod_evasiveはapacheの子プロセス毎にアクセスを管理するが、mod_dosdetectorは共有メモリを使うためapacheプロセス全体に対するアクセスを扱う。 F5アタックやロボットの集中アク

[ya--mada]

apacheモジュール化。