FreeBSD 6.0 抗DOS

2009-05-13 11:51:12来源:未知 阅读 ()

新老客户大回馈,云服务器低至5折

原理:BSD爱好者乐园k:x:?.\|IeP%MW
1、打开Polling防止DOS时大量的发包使网卡中断过多而拖垮系统(CPU)。
*W Gr!TG!`6Vyg2、使用PF 防火墙防止SynFlood等Flood,以及防止不必要的包进入系统。
L{        P8Qtn1D        k功效:
S#iX XI?对DOS有较好的效果,DDOS也有一定的效果,慢速DDOS效果不大。BSD爱好者乐园+n)_,b0o7L!{dy
但是对DOS和DDOS带宽耗尽没有很好的防御(PS:其他方法也对此也无可奈何)。
+B]"]3T@-[ ?!di网卡推荐使用Intel的intel pro 100(fxp)或intel pro 1000(em),因为
[url=javascript:;]FreeBSD[/url]
对intel的网卡支持比较好。"sC5cm|L
)q&gU@fP
H#Ni\配置内核时加上
+MHM#y9Jj
[3s9RvI1X9`
hoptions         DEVICE_POLLING #打开 PollingBSD爱好者乐园k(_        l]myl3p{/Eh
options HZ=1000BSD爱好者乐园!^g A6{s6Cr
BSD爱好者乐园/JBy:HVJ
device pf  #编译上PF防火墙模块BSD爱好者乐园$yIn8s.N0Y
device pflogBSD爱好者乐园(P1q6b_s0[
BSD爱好者乐园A/VTT~WpL
以下以WEB服务器为例,网卡为em0(intel pro 1000)BSD爱好者乐园6U?x!N^1e0g?}
BSD爱好者乐园7]XZ(\'@e&w
1、PF防火墙配置
j'y+t DPNt2_BSD爱好者乐园9K K qL.SeC4iQ
BSD爱好者乐园 }rx#H ij
a b
ext_if="em0"
:X5K0K        m?)J/Mw%X9fBSD爱好者乐园u NY3rx.V
table {}
2~y.P1j;|.H:i?^Tscrub in all BSD爱好者乐园
b5q1B2f"x'vUD#O
block in  on $ext_if #默认拒绝BSD爱好者乐园2oGs x!V6S[3d
pass out all
a-t        Z
w5I jj4aMpass quick on lo
0e{9^-G#sn.u
F!y7AiAblock in  on $ext_ifBSD爱好者乐园Sz
I?YI8mX
block in quick on $ext_if from to anyBSD爱好者乐园9P"L2L6c3W
pass  in quick  on $ext_if proto tcp from any to $ext_if port 80  \BSD爱好者乐园;H
vy*] q)JU?NuP
        flags S/SA modulate state (source-track rule, max-src-conn-rate 10/1,max-src-states 30, overload flush, src.track 1)BSD爱好者乐园5m
]:~2dQV T
         #同一原地址最大连接数30个,当每秒钟建立连接数超过10个/秒(Syn包)加入黑名单并断开所有这个ip的连接。BSD爱好者乐园&W7@OO8AD%_:c?CwA
pass in quick on $ext_if proto udp from any port 53 to $ext_if  keep state #打开DNSBSD爱好者乐园Uf)R%G4hZ'E!P@6p
pass out quick  on $ext_if proto { tcp, udp} all keep state  #PASS自身出去的包BSD爱好者乐园#PK"DO f"mR+N-T.` @
2、
[url=javascript:;]优化[/url]
网络参数:
gB$H6EN4n6i0xBSD爱好者乐园NdCN~ Sv
net.isr.direct=1 #必要时打开
!}S7K9GR&vnet.inet.tcp.sendspace=65536
&CPVt1bnet.inet.udp.recvspace=65536
N:F [8Q3q*OQ)h?Knet.inet.udp.maxdgram=65536
?-L[ Fn9j$D9j.~net.inet.icmp.drop_redirect=1

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:SYN 攻击原理以及防范技术

下一篇:设置sysctl.conf导致部分用户无法访问