連載
» 2006年02月14日 00時00分 公開

実用 Apache 2.0運用・管理術(最終回):接続数/帯域制限で無法なダウンローダを撃退 (3/4)

[鶴長鎮一,@IT]

mod_bwshareによる接続数/帯域制限

 Webページ上のリンクをたどり、HTMLや画像ファイルを一気にダウンロードするソフトウェアがあります。こうしたソフトウェアを利用すると、やり方によってはWebサイト全体をローカルのハードディスクに保存することができます。しかし、Webサイトの管理者の立場に立ってみると、こうした行為はサーバに過大な負荷がかかるほか、ある特定のユーザーにリソースが独占されてしまい、ほかのユーザーにサービスを提供できなくなるなどの問題があります。

 相手は個人ユーザーですので、IPアドレスは変化してしまうかもしれません。また、ダウンロードソフトの多くはUser Agentを詐称する機能を持っており、これらを基にアクセス制限を課すのは難しいのが現状です。

 そこで、クライアントの接続状況や使用帯域などを基に制限を行うトラフィック制御系モジュールを導入してみましょう。ここでは、「mod_bwshare」と「mod_limitipconn」を紹介します。これら以外にも、多くのトラフィック制御系モジュールが存在します。下記URLに詳しくまとめられているので、そちらも併せて参照ください。

参考:
Netniceプロジェクト「既存のApacheトラフィック制御モジュール」
http://www.netnice.org/pukiwiki.php?%B4%FB%C2%B8%A4%CEApache%A5%C8%A5%E9%A5%D5%A5%A3%A5%C3%A5%AF%C0%A9%B8%E6%A5%E2%A5%B8%A5%E5%A1%BC%A5%EB

mod_bwshareとは

 mod_bwshareは、クライアントごとに接続制限や帯域制限を掛けることができるモジュールです。クライアントのソースIPごとにリクエストファイル数、ダウンロード済みbytes数をカウントし、同時に単位時間当たりの平均値を算出して接続を制御します。Apache全体のパフォーマンスは低下しますが、一方で特定のクライアントによってサービスが妨げられることは避けられます。

 mod_bwshareモジュールは、クライアントのアドレスごとに以下のような制限を設定できます。制限を超えたクライアントには、制限が実施されていることを通知します。エラー画面には「503 Service Temporarily Unavailable」と表示されていますが、実際にはエラーステータスの503ではなく、正常ステータスの200が返されます。

  • 1秒当たりの平均リクエストファイル数
  • 1秒当たりの平均ダウンロード帯域

mod_bwshareのインストールと設定

 では、ソースを入手してインストールを行います。ここでは、Apacheのapxsコマンドを使用したDSOでインストールします(DSOについては第4回の「mod_deflateモジュールのインストール」参照)。ソースは、mod_bwshareの開発者であるAlan Kennington氏のサイト(http://www.topology.org/src/bwshare/)で入手できます。ソースをダウンロード後展開し、apxsコマンドを実行します。

# wget http://www.topology.org/src/bwshare/bwshare-0.1.6.zip
# unzip bwshare-0.1.6.zip
# cd src/modules/bwshare/
# /usr/local/apache2/bin/apxs -i -a -c mod_bwshare.c
注:apxsコマンドのパスは適宜変更してください。

 apxsコマンドでは、-cオプションでモジュールのソースファイルを指定し、-iおよび-aオプションでコンパイルされたモジュールをapacheのモジュールディレクトリに移動し、httpd.confファイルにmod_bwshareモジュールのための「LoadModule」行を追加します。

 mod_bwshareモジュールの設定は、httpd.confで行います。

# mod_bwshareモジュールの読み込み(「apxs -i -a」で追加済み)
LoadModule bwshare_module modules/mod_bwshare.so
 
# mod_bwshareモジュールの設定
<IfModule mod_bwshare.c>
 
# mod_bwshareモジュールの情報画面の設定
    <Location /bwshare-info>
        SetHandler bwshare-info
        Order deny,allow
        Deny from all
        # 使用可能クライアントのアドレス
        Allow from .example.jp 10.0.0 192.168.0.10
    </Location>
 
    # 各クライアントの状況画面の設定
    <Location /bwshare-trace>
        SetHandler bwshare-trace
        Order deny,allow
        Deny from all
        # 使用可能クライアントのアドレス
        Allow from .example.jp 10.0.0 192.168.0.10
    </Location>
 
    # 各パラメータの設定
    <Directory />
        BW_tx1debt_max          25 #(単位:ファイル数)
        BW_tx1cred_rate         0.1 #(単位:ファイル数/秒)
        BW_tx2debt_max          3000000 #(単位:bytes)
        BW_tx2cred_rate         2500 #(単位:bytes/秒)
    </Directory>
 
</IfModule>

 <IfModule mod_bwshare.c>〜</IfModule>ディレクティブでmod_bwshareモジュールの設定を行います。<Location /bwshare-info>〜</Location>および<Location /bwshare-trace>〜</Location>ディレクティブは必要な場合のみ指定します。bwshare-infoは設定した値や動作状況を、bwshare-traceではより細かく、各クライアントのカウント値や制限実施の有無を見ることができます。使用する際は、mod_status(第3回参照)と同様、使用クライアントの規制を必ず実施します。

画面4 http://サーバのアドレス/bwshare-info(画像をクリックすると拡大します) 画面4 http://サーバのアドレス/bwshare-info(画像をクリックすると拡大します)
画面5 http://サーバのアドレス/bwshare-trace(制限が掛かっているクライアントは黄色や赤でハイライト表示される)(画像をクリックすると拡大します) 画面5 http://サーバのアドレス/bwshare-trace(制限が掛かっているクライアントは黄色や赤でハイライト表示される)(画像をクリックすると拡大します)

 指定可能なパラメータは4種類です。BW_tx1debt_max/BW_tx1cred_rateは、リクエスト(ダウンロードファイル)数の上限を設定します。BW_tx1debt_maxまでは無制限に、それ以上の場合はBW_tx1cred_rateを満たすように制限を解除します。例えば、上記の設定では、25ファイルまでは無制限にダウンロードでき、その後は1秒間に0.1(10秒ごとに1)ファイルずつのダウンロードを許可します。

 BW_tx2debt_max/BW_tx2cred_rateは、ダウンロード帯域の上限を設定します。BW_tx2debt_maxまでは無制限、それ以上はBW_tx2cred_rateを満たすように制限を解除します。上の例では3000000bytesまでは無制限に、それ以上は2500bytes/秒の範囲内でダウンロードを許可します。

 httpd.confを編集したら、Apacheの起動または再起動を行って設定を有効にします。

# /usr/local/apache2/bin/apachectl restart
再起動の場合

 Apacheを再起動したら、実際にサーバにアクセスしてサイズの大きなファイルをダウンロードしてみたり、リロードを繰り返すなどして、制限の効果を確認してみましょう。制限が実施された場合、以下のような通知が表示されます。この表示により、クライアント側でも制限が実施されていることや何秒後に制限が解除されるのかを確認できます。

画面6 mod_bwshareによるクライアントへの制限の通知 画面6 mod_bwshareによるクライアントへの制限の通知

 クライアントには制限実施の有無を通知するものの、サーバ側でログに記録する機能はありません。そのため、bwshare-infoやbwshare-traceを活用する必要がります。mod_bwshareにはこれ以外にも、以下のような制約があります。これらを補うため、他モジュールの導入も併せて検討する必要があるでしょう。

  • 「/cgi-binや/imagesには制限を厳しく、/textには制限を設けない」など、URL単位での設定はできない
  • <Directory /cgi-bin>としても、サーバで一意なグローバル設定として認識される
  • 「クライアントAは無制限、クライアントBには厳しい制限を設ける」など、クライアント単位で制限を課すことはできない
  • クライアントのIPアドレスや接続データを管理し、リクエストが発生するたびにそれらの値を更新したり検索するため、パフォーマンスが低下する
  • クライアントをIPアドレスで区別するため、プロキシサーバからのリクエストはすべて同一クライアントと見なす

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。