基于freebsd5.3下 PF synproxy的DDOS防范方案
2009-05-13 06:36:08来源:未知 阅读 ()
基于freebsd下 PF synproxy的DDOS防范方案[摘要]
本文讲述了基于freebsd5.3 下PF synproxy的DDOS防范方案,对于中小型企业抵挡每秒3万个包的攻击不失为一种可用方案。
[环境]
防火墙:台式机P4 2G,512内存。 FREEBSD5.3
WEB服务器:笔记本PIII 700 256m, suse linux enterprise server 9
攻击机器:笔记本:PIII 700 256M, WIN2000 SERVER
攻击工具:HGOD v0.4
测试机:笔记本:PIII 700
拓朴:
=====
防火墙:xl0 外网卡:172.16.0.1; sis0 内网卡:192.168.100.1
WEB服务器:eth0 192.168.100.2
攻击机:172.16.0.194
测试机:172.16.0.195
一、编译内核
#cd /usr/src/sys/i386/conf
#cp GENERIC billy-pf
#vi billy-pf
添加:
device pf
device pflog
device pfsync
options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options ALTQ_NOPCC # Required for SMP build
#config billy-pf
#cd ../compile/billy-pf
#make depend;make make install
二、编辑启动脚本/etc/rc.conf
pf_enable="YES" # Enable PF (load module if required)
pf_rules="/etc/pf.conf" # rules definition file for pf
pf_flags="" # additional flags for pfctl startup
pflog_enable="YES" # start pflogd(8)
pflog_logfile="/var/log/pflog" # where pflogd should store the logfile
pflog_flags="" # additional flags for pflogd startup
gateway_enable="YES"
三、修改/etc/pf.conf
ext_if="xl0"
int_if="sis0"
internal_net="192.168.100.1/24"
external_addr="172.16.0.1"
web_server="192.168.100.2"
nat on $ext_if from $internal_net to any ->; ($ext_if)
#($ext_if) 括起来的原因:如果你使用DHCP还配置外部地址,不括起来会存在问题。如果你分配的IP地址改变了,NAT仍然会使用旧的IP地址转换出去的数据包。这会导致对外的连接停止工作。为解决这个问题,应该给接口名称加上括号,告诉PF自动更新转换地址。
rdr on $ext_if proto tcp from any to $external_addr/32 port 80 ->; $web_server port 80
#这一行重定向了TCP端口80(web服务器)流量到内部网络地址$web_server。因此,即使$web_server在网关后面的内部网络,外部仍然能够访问它。
pass in on $ext_if proto tcp from any to $web_server port 80 flags S/SA synproxy state
#连到外部地址的80端口,作SYNPROXY,以防DDOS攻击
四、修改192.168.100.2的网关IP为192.168.100.1
五、修改/etc/sysctl.conf
net.inet.ip.forwarding=1
使防火墙进行IP转发
重启
六、测试
攻击前先访问http://172.16.0.1/index.html,正常打开了WEB服务器上的主页
攻击:
往防火墙的外部IP172.16.0.1的80端口发动DDOS攻击。
hgod 172.16.0.1 80
观察WEB服务器192.168.100.2上的80端口连接情况和收到的包数。
统计防火墙上受攻击强度(包/每秒)。
speed.sh
#!/bin/sh
oldval=0
curval=0
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- OpenBSD 4.5 发布 2009-05-13
- FreeBSD sysctl.conf 配置详解及最佳方案 2009-05-13
- OpenBSD下建立基于系统用户名验证OpenVPN网络 2009-05-13
- DNS 又一解决方案:izidns = bind + PowerAdmin 2009-05-13
- sysctl.conf 优化方案 2009-05-13
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
