FreeBSD 6.0 抗DOS

原理：BSD爱好者乐园k:x:?.\|IeP%MW
1、打开Polling防止DOS时大量的发包使网卡中断过多而拖垮系统（CPU）。
*WGr!T
G!`6Vyg2、使用PF 防火墙防止SynFlood等Flood，以及防止不必要的包进入系统。
L{        P8Qtn1D        k功效：
S#iX XI?对DOS有较好的效果，DDOS也有一定的效果，慢速DDOS效果不大。BSD爱好者乐园+n)_,b0o7L!{dy
但是对DOS和DDOS带宽耗尽没有很好的防御（PS:其他方法也对此也无可奈何）。
+B]"]3T@-[?!di网卡推荐使用Intel的intel pro 100(fxp)或intel pro 1000(em)，因为
[url=javascript:;]FreeBSD[/url]
对intel的网卡支持比较好。"sC5cm|L
)q&gU@fP
H#Ni\配置内核时加上
+MHM#y9Jj
[3s9RvI1X9`
hoptions         DEVICE_POLLING #打开 PollingBSD爱好者乐园k(_        l]myl3p{/Eh
options HZ=1000BSD爱好者乐园!^gA6{s6Cr
BSD爱好者乐园/JBy:HVJ
device pf  #编译上PF防火墙模块BSD爱好者乐园$yIn8s.N0Y
device pflogBSD爱好者乐园(P1q6b_s0[
BSD爱好者乐园A/VTT~
WpL
以下以WEB服务器为例，网卡为em0(intel pro 1000)BSD爱好者乐园6U?x!N^1e0g?}
BSD爱好者乐园7]XZ(\'@e&w
1、PF防火墙配置
j'y+tDPNt2_BSD爱好者乐园9KKqL.S
eC4iQ
BSD爱好者乐园}rx#H ij
a b
ext_if="em0"
:X5K0K        m?)J/Mw%X9fBSD爱好者乐园uNY3rx.V
table {}
2~y.P1j;|.H:i?^Tscrub in all BSD爱好者乐园
b5q1B2f"x'vUD#O
block in  on $ext_if #默认拒绝BSD爱好者乐园2oGsx!V6S[3d
pass out all
a-t        Z
w5Ijj4aMpass quick on lo
0e{9^-G#sn.u
F!y7Ai
Ablock in  on $ext_ifBSD爱好者乐园S
z
I?YI8mX
block in quick on $ext_if from to anyBSD爱好者乐园9P"L2L6c3W
pass  in quick  on $ext_if proto tcp from any to $ext_if port 80  \BSD爱好者乐园;H
vy*] q)JU?NuP
        flags S/SA modulate state (source-track rule, max-src-conn-rate 10/1,max-src-states 30, overload flush, src.track 1)BSD爱好者乐园5m
]:~2dQVT
         #同一原地址最大连接数30个，当每秒钟建立连接数超过10个/秒(Syn包)加入黑名单并断开所有这个ip的连接。BSD爱好者乐园&W7@OO8AD%_:c?CwA
pass in quick on $ext_if proto udp from any port 53 to $ext_if  keep state #打开DNSBSD爱好者乐园Uf)R%G4hZ'E!P@6p
pass out quick  on $ext_if proto { tcp, udp} all keep state  #PASS自身出去的包BSD爱好者乐园#PK"DO f"mR+N-T.` @
2、
[url=javascript:;]优化[/url]
网络参数：
gB$H6EN4n6i0xBSD爱好者乐园NdCN~ Sv
net.isr.direct=1 #必要时打开
!}S7K9GR&vnet.inet.tcp.sendspace=65536
&CPVt1bnet.inet.udp.recvspace=65536
N:F [8Q3q*OQ)h?Knet.inet.udp.maxdgram=65536
?-L[Fn9j$D9j.~net.inet.icmp.drop_redirect=1

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有