mod_evasive Feintuning der Konfiguration

[Marc Kiefer <si...@web.de>]

Hallo Liste,

ich habe auf einem Apache2 mod_evasive im Einsatz und habe dazu die 
mitgelieferte Standard-Konfiguration eingerichtet:

<IfModule mod_evasive20.c>
DOSHashTableSize    3097
DOSPageCount        2
DOSSiteCount        50
DOSPageInterval     1
DOSSiteInterval     1
DOSBlockingPeriod   10
</IfModule>

Nun ist es so, dass das Modul seine Lock-Dateien in /tmp ablegt, dort 
wird die IP des potentiellen Angreifers zusammen mit der PID des 
beteiligten Apache-Child-Prozesses abgelegt.
Wenn diesselbe IP nun ein zweites Mal aufällig wird reagiert das Modul 
solange nicht, bis man den Eintrag aus /tmp löscht, was ich im Moment 
mit einem nächtlichen Cronjob tue.

Diese Lösung scheint mir nicht optimal zu sein, in der README des Moduls 
gibt es zu diesem Problem auch keine Hinweise.

Meine Fragen wären:

1. Wie kann ich die Konfiguration verbessern (WebDAV Zugriffe von 
Windows-Clients werden immer(!) als DOS-Attacke gewertet)
2. Wie lässt sich der Lock-Mechanismus umgehen?

Gruß,
Marc

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------