Mod_evasive is een module voor Helicon Ape en biedt bescherming en maatregelen tegen een (D)DoS- of bruteforce-aanval op HTTP niveau. Het werkt als volgt: wanneer een IP-adres (website-bezoeker) een vooraf bepaald aantal HTTP-verzoeken uitvoert in een vooraf gedefinieerde tijdspanne, dan wordt dit IP-adres geblokkeerd.

Hiermee biedt deze module heel goede mogelijkheden om een (D)DoS- of bruteforce-aanval af te weren, want is de drempel bereikt dan worden verzoeken simpelweg geweigerd met een “403 Forbidden” status.

(D)DoS- of bruteforce-aanval?

Een (Distributed) Denial-of-Service (DoS of DDoS) aanval is een aanval waarbij één IP-adres (DoS) of meerdere IP-adressen (DDoS) zoveel verzoeken tegelijkertijd naar een website verstuurt om deze tijdelijk uit de lucht te halen. Bij een bruteforce-aanval gebeurt ongeveer hetzelfde. Ook dan worden heel veel verzoeken tegelijkertijd verstuurd, maar dan om een inlogbeveiliging op een website te kraken door het uitproberen van allerlei verschillende gebruikersnaam- en wachtwoordcombinaties.

Mod_evasive configuratie

De standaard mod_evasive configuratie gaat uit van de volgende twee drempels:

  • DOSPageCount (10)
    DOSPageInterval (1)
  • DOSSiteCount (150)
    DOSSiteInterval (1)

Hierbij gaat het steeds om het aantal HTTP-verzoeken van een IP-adres op een pagina (DOSPageCount) of gehele website (DOSSiteCount). Dus bij 10 verzoeken op één pagina binnen één seconde of 150 verzoeken binnen één seconde op de gehele website, wordt het IP-adres van de bezoeker geblokkeerd.

Uitzonderingen op de mod_evasive-configuratie

Het kan zijn dat jouw website bestaat uit meer dan 150 HTTP-verzoeken, bijvoorbeeld op allerlei javascript- en stylesheetbestanden. En als jouw website heel snel reageert, dan kan een bezoeker onterecht geblokkeerd worden. Als dit onverhoopt gebeurt, kunnen wij jouw website uitzonderen van deze configuratie. Mod_evasive is dan niet meer actief. Let wel: wordt jouw website daarna verplaatst naar een nieuwe webserver, dan is het helaas niet mogelijk deze uitzondering mee over te nemen. Onze klantenservice ontvangt dan graag een berichtje om dit opnieuw in te stellen. Een uitzondering is dat SSL-websites standaard niet meegenomen zijn in de configuratie. Heb jij een website met een SSL-certificaat en wil je ook graag beschermd zijn tegen DDoS- en bruteforce-aanvallen? Neem dan even contact op met onze klantenservice.

Meer informatie over mod_evasive

Wij kunnen ons voorstellen dat je vast wat meer wilt weten over mod_evasive. Dat kan op de volgende twee URL’s: http://www.helicontech.com/ape/doc/mod_evasive.htm en http://www.saotn.org/mod_evasive-iis/

Wat vond je van dit antwoord?

Bedankt voor je feedback!

Er is een fout opgetreden. Probeer het later opnieuw.