接続数/帯域制限で無法なダウンローダを撃退:実用 Apache 2.0運用・管理術(最終回)(3/4 ページ)
画像の直リンクやコンテンツの一括ダウンロードなど、サーバに負荷を掛ける迷惑行為は後を絶たない。今回は、これらへの対処法を紹介する。(編集部)
mod_bwshareによる接続数/帯域制限
Webページ上のリンクをたどり、HTMLや画像ファイルを一気にダウンロードするソフトウェアがあります。こうしたソフトウェアを利用すると、やり方によってはWebサイト全体をローカルのハードディスクに保存することができます。しかし、Webサイトの管理者の立場に立ってみると、こうした行為はサーバに過大な負荷がかかるほか、ある特定のユーザーにリソースが独占されてしまい、ほかのユーザーにサービスを提供できなくなるなどの問題があります。
相手は個人ユーザーですので、IPアドレスは変化してしまうかもしれません。また、ダウンロードソフトの多くはUser Agentを詐称する機能を持っており、これらを基にアクセス制限を課すのは難しいのが現状です。
そこで、クライアントの接続状況や使用帯域などを基に制限を行うトラフィック制御系モジュールを導入してみましょう。ここでは、「mod_bwshare」と「mod_limitipconn」を紹介します。これら以外にも、多くのトラフィック制御系モジュールが存在します。下記URLに詳しくまとめられているので、そちらも併せて参照ください。
参考:
Netniceプロジェクト「既存のApacheトラフィック制御モジュール」
http://www.netnice.org/pukiwiki.php?%B4%FB%C2%B8%A4%CEApache%A5%C8%A5%E9%A5%D5%A5%A3%A5%C3%A5%AF%C0%A9%B8%E6%A5%E2%A5%B8%A5%E5%A1%BC%A5%EB
mod_bwshareとは
mod_bwshareは、クライアントごとに接続制限や帯域制限を掛けることができるモジュールです。クライアントのソースIPごとにリクエストファイル数、ダウンロード済みbytes数をカウントし、同時に単位時間当たりの平均値を算出して接続を制御します。Apache全体のパフォーマンスは低下しますが、一方で特定のクライアントによってサービスが妨げられることは避けられます。
mod_bwshareモジュールは、クライアントのアドレスごとに以下のような制限を設定できます。制限を超えたクライアントには、制限が実施されていることを通知します。エラー画面には「503 Service Temporarily Unavailable」と表示されていますが、実際にはエラーステータスの503ではなく、正常ステータスの200が返されます。
- 1秒当たりの平均リクエストファイル数
- 1秒当たりの平均ダウンロード帯域
mod_bwshareのインストールと設定
では、ソースを入手してインストールを行います。ここでは、Apacheのapxsコマンドを使用したDSOでインストールします(DSOについては第4回の「mod_deflateモジュールのインストール」参照)。ソースは、mod_bwshareの開発者であるAlan Kennington氏のサイト(http://www.topology.org/src/bwshare/)で入手できます。ソースをダウンロード後展開し、apxsコマンドを実行します。
# wget http://www.topology.org/src/bwshare/bwshare-0.1.6.zip # unzip bwshare-0.1.6.zip # cd src/modules/bwshare/ # /usr/local/apache2/bin/apxs -i -a -c mod_bwshare.c
apxsコマンドでは、-cオプションでモジュールのソースファイルを指定し、-iおよび-aオプションでコンパイルされたモジュールをapacheのモジュールディレクトリに移動し、httpd.confファイルにmod_bwshareモジュールのための「LoadModule」行を追加します。
mod_bwshareモジュールの設定は、httpd.confで行います。
# mod_bwshareモジュールの読み込み(「apxs -i -a」で追加済み) LoadModule bwshare_module modules/mod_bwshare.so # mod_bwshareモジュールの設定 <IfModule mod_bwshare.c> # mod_bwshareモジュールの情報画面の設定 <Location /bwshare-info> SetHandler bwshare-info Order deny,allow Deny from all # 使用可能クライアントのアドレス Allow from .example.jp 10.0.0 192.168.0.10 </Location> # 各クライアントの状況画面の設定 <Location /bwshare-trace> SetHandler bwshare-trace Order deny,allow Deny from all # 使用可能クライアントのアドレス Allow from .example.jp 10.0.0 192.168.0.10 </Location> # 各パラメータの設定 <Directory /> BW_tx1debt_max 25 #(単位:ファイル数) BW_tx1cred_rate 0.1 #(単位:ファイル数/秒) BW_tx2debt_max 3000000 #(単位:bytes) BW_tx2cred_rate 2500 #(単位:bytes/秒) </Directory> </IfModule>
<IfModule mod_bwshare.c>〜</IfModule>ディレクティブでmod_bwshareモジュールの設定を行います。<Location /bwshare-info>〜</Location>および<Location /bwshare-trace>〜</Location>ディレクティブは必要な場合のみ指定します。bwshare-infoは設定した値や動作状況を、bwshare-traceではより細かく、各クライアントのカウント値や制限実施の有無を見ることができます。使用する際は、mod_status(第3回参照)と同様、使用クライアントの規制を必ず実施します。
指定可能なパラメータは4種類です。BW_tx1debt_max/BW_tx1cred_rateは、リクエスト(ダウンロードファイル)数の上限を設定します。BW_tx1debt_maxまでは無制限に、それ以上の場合はBW_tx1cred_rateを満たすように制限を解除します。例えば、上記の設定では、25ファイルまでは無制限にダウンロードでき、その後は1秒間に0.1(10秒ごとに1)ファイルずつのダウンロードを許可します。
BW_tx2debt_max/BW_tx2cred_rateは、ダウンロード帯域の上限を設定します。BW_tx2debt_maxまでは無制限、それ以上はBW_tx2cred_rateを満たすように制限を解除します。上の例では3000000bytesまでは無制限に、それ以上は2500bytes/秒の範囲内でダウンロードを許可します。
httpd.confを編集したら、Apacheの起動または再起動を行って設定を有効にします。
# /usr/local/apache2/bin/apachectl restart
Apacheを再起動したら、実際にサーバにアクセスしてサイズの大きなファイルをダウンロードしてみたり、リロードを繰り返すなどして、制限の効果を確認してみましょう。制限が実施された場合、以下のような通知が表示されます。この表示により、クライアント側でも制限が実施されていることや何秒後に制限が解除されるのかを確認できます。
クライアントには制限実施の有無を通知するものの、サーバ側でログに記録する機能はありません。そのため、bwshare-infoやbwshare-traceを活用する必要がります。mod_bwshareにはこれ以外にも、以下のような制約があります。これらを補うため、他モジュールの導入も併せて検討する必要があるでしょう。
- 「/cgi-binや/imagesには制限を厳しく、/textには制限を設けない」など、URL単位での設定はできない
- <Directory /cgi-bin>としても、サーバで一意なグローバル設定として認識される
- 「クライアントAは無制限、クライアントBには厳しい制限を設ける」など、クライアント単位で制限を課すことはできない
- クライアントのIPアドレスや接続データを管理し、リクエストが発生するたびにそれらの値を更新したり検索するため、パフォーマンスが低下する
- クライアントをIPアドレスで区別するため、プロキシサーバからのリクエストはすべて同一クライアントと見なす
Copyright © ITmedia, Inc. All Rights Reserved.