Ubuntu Apache如何实现防盗攻击

Ubuntu Apache实现防盗攻击的综合方案

1. 限制请求频率（防刷单/CC攻击）

使用mod_evasive模块限制单个IP在短时间内的高频请求，有效防御DDoS、刷单等攻击。

• 安装模块：sudo apt install libapache2-mod-evasive
• 配置规则：编辑/etc/apache2/mods-enabled/evasive.conf，设置关键参数（可根据业务调整）：

  <IfModule mod_evasive20.c>
      DOSHashTableSize    3097    # 哈希表大小，建议保持默认
      DOSPageCount        2       # 单个页面1秒内最多允许2次请求
      DOSSiteCount        50      # 整站1秒内最多允许50次请求
      DOSPageInterval     1       # 页面请求检测时间窗口（秒）
      DOSSiteInterval     1       # 整站请求检测时间窗口（秒）
      DOSBlockingPeriod   10      # 封禁时间（秒），封禁后IP无法访问
  </IfModule>
  

• 启用模块与重启：sudo a2enmod evasive && sudo systemctl restart apache2

2. 防盗链（防资源盗用）

通过mod_rewrite模块验证请求来源（Referer），阻止非授权网站盗用图片、视频等静态资源。

• 启用rewrite模块：sudo a2enmod rewrite && sudo systemctl restart apache2
• 配置.htaccess或虚拟主机：在需要保护的目录（如/var/www/html/images）的.htaccess文件中添加：

  RewriteEngine On
  RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain\.com [NC]  # 允许自身域名
  RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?trusted-domain\.com [NC]  # 可选：允许信任的第三方域名
  RewriteCond %{HTTP_REFERER} !^$  # 允许直接访问（如用户手动输入URL）
  RewriteRule \.(jpg|jpeg|png|gif|svg|webp)$ - [F,L]  # 匹配资源扩展名，返回403
  

  或在虚拟主机配置（如/etc/apache2/sites-available/your-site.conf）的<Directory>块中添加相同规则

3. 防爬虫（防恶意抓取）

通过识别恶意User-Agent或IP，阻止爬虫批量抓取网站内容。

• 基于User-Agent过滤：在.htaccess或虚拟主机配置中添加：

  RewriteEngine On
  RewriteCond %{HTTP_USER_AGENT} (BadBot|Scrapy|wget|curl) [NC]  # 匹配常见恶意爬虫标识
  RewriteRule .* - [F,L]  # 返回403禁止访问
  

• 基于IP黑名单：在虚拟主机配置的<Directory>块中添加：

  <RequireAll>
      Require all granted
      Require not ip 192.168.1.100  # 封禁单个IP
      Require not ip 192.168.1.0/24 # 封禁IP段
  </RequireAll>
  

• 使用mod_security（高级防护）：安装并配置Web应用防火墙（WAF），拦截复杂爬虫请求：

  sudo apt install libapache2-mod-security2
  sudo a2enmod security2
  sudo systemctl restart apache2
  

  编辑/etc/modsecurity/modsecurity.conf，添加自定义规则（如封禁访问敏感页面的IP）：

  SecRule REQUEST_URI "@rx /admin|/private" \
      "id:1001,phase:2,deny,status:403,msg:'Blocked suspicious crawler'"
  

  重启Apache生效

4. 基础认证（防未授权访问）

对敏感目录（如后台、数据库管理页面）启用HTTP基本认证，要求用户输入用户名和密码。

• 创建密码文件：sudo htpasswd -c /etc/apache2/.htpasswd admin（首次创建用-c，后续添加用户无需-c）
• 配置访问控制：在虚拟主机配置或.htaccess中添加：

  <Directory /var/www/html/admin>
      AuthType Basic
      AuthName "Restricted Area"
      AuthUserFile /etc/apache2/.htpasswd
      Require valid-user
  </Directory>
  

  重启Apache使配置生效

5. 隐藏服务器信息（防信息泄露）

移除Apache响应头中的版本号和系统信息，降低攻击者针对性利用漏洞的风险。

• 修改Apache配置：编辑/etc/apache2/conf-enabled/security.conf，设置：

  ServerTokens Prod  # 仅显示"Apache"，隐藏版本号
  ServerSignature Off  # 关闭错误页面的服务器信息
  

  重启Apache生效

6. 启用SSL/TLS加密（防数据窃取）

通过HTTPS加密传输数据，防止中间人攻击窃取用户信息（如登录密码、支付信息）。

• 安装Certbot：sudo apt install certbot python3-certbot-apache
• 获取并安装证书：运行sudo certbot --apache，按提示输入域名，自动配置SSL证书。
• 强制HTTPS：在虚拟主机配置中添加重定向规则，将HTTP请求跳转至HTTPS：

  <VirtualHost *:80>
      ServerName yourdomain.com
      Redirect permanent / https://yourdomain.com/
  </VirtualHost>
  

  重启Apache生效

7. 安全审计与监控（及时发现攻击）

通过日志分析和自动化工具，及时发现并响应异常行为。

• 安装fail2ban：sudo apt install fail2ban，配置/etc/fail2ban/jail.local添加Apache防护规则：

  [apache-badbots]
  enabled = true
  filter = apache-badbots
  action = iptables-multiport[name=HTTP, port="http,https", protocol=tcp]
  logpath = /var/log/apache2/access.log
  maxretry = 3
  bantime = 3600
  

  重启fail2ban生效：sudo systemctl restart fail2ban
• 定期检查日志：使用tail -f /var/log/apache2/error.log或grep '403' /var/log/apache2/access.log查看异常请求