小规模DDoS用Freebsd+IPFW搞定

编者按：本文讨论的方法只是针对小规模的恶意攻击比较有效。
　　笔者公司共有10台Web服务器，使用Redhat Linux
9作为操作系统，分布在全国各大城市，主要为用户提供HTTP服务。曾经有一段时间不少用户反映有的服务器访问速度缓慢，甚至不能访问，检查后发现是受到
了DDoS攻击（分布式拒绝服务攻击）。由于服务器分布太散，不能采用硬件防火墙的方案，虽然IPtables功能很强大，足以应付大部分的攻击，但
Linux系统自身对DDoS攻击的防御力本来就弱，只好另想办法了。
小规模DDoS用Freebsd+IPFW搞定
            
            

            
        
      
      
        
         
            
              
　　编者按：本文讨论的方法只是针对小规模的恶意攻击比较有效。
　　笔者公司共有10台Web服务器，使用Redhat Linux
9作为操作系统，分布在全国各大城市，主要为用户提供HTTP服务。曾经有一段时间不少用户反映有的服务器访问速度缓慢，甚至不能访问，检查后发现是受到
了DDoS攻击（分布式拒绝服务攻击）。由于服务器分布太散，不能采用硬件防火墙的方案，虽然IPtables功能很强大，足以应付大部分的攻击，但
Linux系统自身对DDoS攻击的防御力本来就弱，只好另想办法了。
　　一、Freebsd的魅力
　　发现Freebsd的好处是在一次偶然的测试中，在LAN里虚拟了一个Internet，用一台Windows客户端分别向一台Windows
Server、Linux Server和一台Freebsd在无任何防范措施的情况下发送Syn
Flood数据包（常见的DDoS攻击主要靠向服务器发送Syn
Flood数据完成）。Windows在达到10个包的时候就完全停止响应了，Linux在达到10个数据包的时候开始连接不正常，而Freebsd却能
承受达100个以上的Syn Flood数据包。笔者决定将公司所有的Web服务器全换为Freebsd平台。
　　在使用Freebsd后，的确过了一段时间的安稳日子。不过近日又有用户再次反映网站不能正常访问，表现症状为用户打开网页速度缓慢，或者直接
显示为找不到网站。用netstat –a查看到来自某IP的连接刚好50个，状态均为FIN_WAIT
1，这是属于明显的DDoS攻击，看来Freebsd没有防火墙也不是万能的啊，于是就想到了装防火墙。
　　看了N多资料，了解到Freebsd下最常见的防火墙叫IP
FireWall，中文字面意思叫IP防火墙，简称IPFW。但如果要使用IPFW则需要编译Freebsd系统内核。出于安全考虑，在编译结束后，
IPFW是默认拒绝所有网络服务，包括对系统本身都会拒绝，这下我就彻底“寒”了，我放在外地的服务器可怎么弄啊？
　　大家这里一定要小心，配置稍不注意就可能让你的服务器拒绝所有的服务。笔者在一台装了Freebsd 5.0 Release的服务器上进行了测试。
　　二、配置IPFW
　　其实我们完全可以把安装IPFW看作一次软件升级的过程，在Windows里面，如果要升级一款软件，则需要去下载升级包，然后安装；在
Freebsd中升级软件过程也是如此，但我们今天升级的这个功能是系统本身已经内置了的，我们只需要利用这个功能即可。打开这个功能之前，我们还要做一
些准备工作。
　　下面开始配置IPFW的基本参数。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有