掲示板CGIへの連続アタックを規制するモジュールをいろいろ探してみる。LoadModuleしているだけで明らかにApacheのパフォーマンスが落ちるので、機能的に中途半端なモノを導入する訳にもいかないのだ。

• mod_limitipconn v0.22

ExtendedStatus を On にして


MaxConnPerIP 2

ab -n 10 -c 10 http://localhost/ で弾かれることを確認。
IPアドレス単位で規制がかかるのは良いが、同時アクセスのみの制限なのでイマイチ。

• bwshare v0.1.3

$ apxs -i -a -c mod_bwshare.c

BW_tx1cred_rate 0.067
BW_tx1debt_max 30

SetHandler bwshare-info

SetHandler bwshare-trace

レートが設定できて、それを越える頻度のアタックがあると、そのIPアドレスからの接続を一時的に503で蹴ってくれる。機能的には申し分ないのだが、VirtualHostをサポートしていないのが致命的(使えない…)

• bw_mod v0.6

インストールまでいけるが、規制がかからない…
機能的には mod_limitipconn と変わらないと思われる。

• mod_bandwidth2 v0.3

これも動いてない…
つーか mod_bandwidth の機能は探しているモノとはちょっと違う…