如何在Apache2中配置防盗刷

在Apache2中配置防盗刷功能

网站安全运维中，一个常见且令人头疼的问题就是恶意请求的“刷量”攻击。这类攻击通常表现为来自同一IP地址在短时间内发起海量请求，意图拖慢甚至拖垮服务器。好在Apache2提供了几种成熟的解决方案，核心思路就是限制请求频率，把恶意流量挡在门外。下面这张图直观地展示了配置防盗刷的整体思路。

方法一：使用mod_evasive模块

说到Apache的防盗刷，mod_evasive模块绝对是首选之一。它就像一个反应迅速的“门卫”，专门用来检测和拦截那些行为异常的请求。配置起来也不复杂，跟着下面几步走就行。

1. 首先是安装模块。在终端里执行以下命令：

   sudo apt-get update
   sudo apt-get install libapache2-mod-evasive

2. 安装完成后，别忘了启用它：

   sudo a2enmod evasive

3. 接下来是关键配置。编辑Apache的配置文件，比如/etc/apache2/conf-a vailable/evasive.conf，把下面这段规则加进去：

   
   DOSHashTableSize3097
   DOSPageCount2
   DOSSiteCount50
   DOSPageInterval 1
   DOSSiteInterval 1
   DOSBlockingPeriod 10
   

   这几个参数决定了“门卫”的警戒标准：

   • DOSHashTableSize：相当于门卫的工作台大小，用来高效记录IP信息。
   • DOSPageCount：对同一个页面的请求，在设定间隔内超过这个数就会触发警报。
   • DOSSiteCount：对整个站点的总请求数限制。
   • DOSPageInterval 和 DOSSiteInterval：上面两个计数的时间窗口，单位是秒。
   • DOSBlockingPeriod：一旦发现可疑IP，把它关进“小黑屋”的时长。

4. 启用这个配置文件：

   sudo a2enconf evasive

5. 最后，重启Apache服务让配置生效：

   sudo systemctl restart apache2

方法二：使用mod_security模块

如果你需要更强大、更精细的控制，那么mod_security这个Web应用防火墙（WAF）模块值得考虑。它不仅能防刷量，还能抵御SQL注入、跨站脚本等多种攻击，相当于给网站请了一位“全能保镖”。

1. 同样，先从安装开始：

   sudo apt-get update
   sudo apt-get install libapache2-mod-security2

2. 启用模块：

   sudo a2enmod security2

3. 然后进行核心配置。编辑配置文件（例如/etc/apache2/conf-a vailable/security2.conf），加入以下规则：

   
   SecAction "id:500001,\phase:2,\nolog,\pass,\initcol:ip=%{REMOTE_ADDR},\setvar:ip.request_count=+1,\expirevar:ip.request_count=60"
   SecRule IP:REQUEST_COUNT "@gt 10" \
   "id:500002,\phase:2,\pass,\log,\msg:'Possible CSRF or brute force attack detected',\block"
   

   这段规则逻辑很清晰：

   • SecAction：这条指令负责初始化一个计数器，为每个来访的IP地址记录其在60秒内的请求次数。
   • SecRule：这条是判定规则。如果检测到某个IP的请求计数在时间窗口内超过了10次，就立刻记录日志并实施拦截。

4. 启用配置：

   sudo a2enconf security2

5. 重启Apache服务：

   sudo systemctl restart apache2

方法三：使用fail2ban

除了Apache自身的模块，我们还可以借助一个系统级的“巡查官”——fail2ban。它的工作方式是实时扫描日志文件，一旦发现符合攻击特征的记录，就直接调用系统防火墙（如iptables）封禁IP，实现更深层次的防御。

1. 安装fail2ban：

   sudo apt-get update
   sudo apt-get install fail2ban

2. 接下来是配置。编辑fail2ban的配置文件，通常是/etc/fail2ban/jail.local，添加针对Apache的监控策略：

   [DEFAULT]
   bantime = 600
   findtime = 600
   maxretry = 3
   
   [apache-auth]
   enabled = true
   filter = apache-auth
   action = iptables-multiport[name=Apache, port="http,https", protocol=tcp]
   logpath = /var/log/apache2/access.log

   这里几个参数决定了“巡查官”的执法尺度：

   • bantime：违规IP被禁止访问的时长。
   • findtime：巡查的时间窗口，在这个时间内统计失败次数。
   • maxretry：在时间窗口内允许的最大失败次数，超过即触发封禁。
   • filter 和 logpath：指定巡查官分析哪个日志文件，并使用什么规则去判断。

3. 配置完成后，重启fail2ban服务：

   sudo systemctl restart fail2ban

以上就是三种在Apache2中配置防盗刷的主流方法。从轻量级的专用模块mod_evasive，到功能全面的WAF模块mod_security，再到系统级的日志分析工具fail2ban，各有侧重。你可以根据网站的实际安全需求和运维复杂度，选择最适合的那一款来部署，从而有效构筑起对抗恶意请求的第一道防线。