Hallo Liste,
ich habe auf einem Apache2 mod_evasive im Einsatz und habe dazu die
mitgelieferte Standard-Konfiguration eingerichtet:
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
</IfModule>
Nun ist es so, dass das Modul seine Lock-Dateien in /tmp ablegt, dort
wird die IP des potentiellen Angreifers zusammen mit der PID des
beteiligten Apache-Child-Prozesses abgelegt.
Wenn diesselbe IP nun ein zweites Mal aufällig wird reagiert das Modul
solange nicht, bis man den Eintrag aus /tmp löscht, was ich im Moment
mit einem nächtlichen Cronjob tue.
Diese Lösung scheint mir nicht optimal zu sein, in der README des Moduls
gibt es zu diesem Problem auch keine Hinweise.
Meine Fragen wären:
1. Wie kann ich die Konfiguration verbessern (WebDAV Zugriffe von
Windows-Clients werden immer(!) als DOS-Attacke gewertet)
2. Wie lässt sich der Lock-Mechanismus umgehen?
Gruß,
Marc
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an [EMAIL PROTECTED]
sonstige Anfragen an [EMAIL PROTECTED]
--------------------------------------------------------------------------
