基于freebsd下 PF synproxy的DDOS防范方案[摘要]本文讲述了基于freebsd5.3 下PF synproxy的DDOS防范方案,对于中小型企业抵挡每秒3万个包的攻击不失为一种可用方案。
疑惑3万。。。。。。。。。。。
[环境]防火墙:台式机P4 2G,512内存。 FREEBSD5.3WEB服务器:笔记本PIII 700 256m, suse linux enterprise server 9攻击机器:笔记本:PIII 700 256M, WIN2000 SERVER攻击工具:HGOD v0.4测试机:笔记本:PIII 700拓朴:=====防火墙:xl0 外网卡:172.16.0.1; sis0 内网卡:192.168.100.1WEB服务器:eth0 192.168.100.2攻击机:172.16.0.194测试机:172.16.0.195一、编译内核#cd /usr/src/sys/i386/conf#cp GENERIC billy-pf#vi billy-pf添加:device pfdevice pflogdevice pfsyncoptions ALTQoptions ALTQ_CBQ # Class Bases Queuing (CBQ)options ALTQ_RED # Random Early Detection (RED)options ALTQ_RIO # RED In/Outoptions ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)options ALTQ_PRIQ # Priority Queuing (PRIQ)options ALTQ_NOPCC # Required for SMP build#config billy-pf#cd ../compile/billy-pf#make depend;make make install二、编辑启动脚本/etc/rc.confpf_enable="YES" # Enable PF (load module if required)pf_rules="/etc/pf.conf" # rules definition file for pfpf_flags="" # additional flags for pfctl startuppflog_enable="YES" # start pflogd(8)pflog_logfile="/var/log/pflog" # where pflogd should store the logfilepflog_flags="" # additional flags for pflogd startupgateway_enable="YES"三、修改/etc/pf.confext_if="xl0"int_if="sis0"internal_net="192.168.100.1/24"external_addr="172.16.0.1"web_server="192.168.100.2"nat on $ext_if from $internal_net to any -> ($ext_if)#($ ext_if) 括起来的原因:如果你使用DHCP还配置外部地址,不括起来会存在问题。如果你分配的IP地址改变了,NAT仍然会使用旧的IP地址转换 出去的数据包。这会导致对外的连接停止工作。为解决这个问题,应该给接口名称加上括号,告诉PF自动更新转换地址。rdr on $ext_if proto tcp from any to $external_addr/32 port 80 -> $web_server port 80#这一行重定向了TCP端口80(web服务器)流量到内部网络地址$web_server。因此,即使$web_server在网关后面的内部网络,外部仍然能够访问它。 pass in on $ext_if proto tcp from any to $web_server port 80 flags S/SA synproxy state #连到外部地址的80端口,作SYNPROXY,以防DDOS攻击四、修改192.168.100.2的网关IP为192.168.100.1五、修改/etc/sysctl.confnet.inet.ip.forwarding=1使防火墙进行IP转发重启六、测试攻击前先访问http://172.16.0.1/index.html,正常打开了WEB服务器上的主页 攻击:往防火墙的外部IP172.16.0.1的80端口发动DDOS攻击。hgod 172.16.0.1 80观察WEB服务器192.168.100.2上的80端口连接情况和收到的包数。统计防火墙上受攻击强度(包/每秒)。speed.sh#!/bin/sholdval=0curval=0while truedocurval=`netstat -i | grep xl0 | head -1 | awk '{print $5}'if [ $oldval = 0 ]; thenold=$curvalelseecho `date`" pkg inbound rate on xl0: $(($curval-$oldval)) pps"oldval=$curvalfisleep 1done`七、测试结果DDOS攻击下,防火墙接收到的包速率为:2.6万-2.8万个包每秒在PF的保护下,仅DDOS攻击时,WEB服务器没有收到一个包,说明防火墙全挡住了非法包。去掉SYNPROXY的保护,即最后一条规则时,WEB服务器收到的包速成率与防火墙收到的包相当。访问WEB服务器时被拒绝。在PF保护下,WEB_server的访问正常。结论:基于PF的防DDOS攻击对于每秒3万个包以下的攻击抵挡效果出色。对于更大流量的攻击,有待进一步测试。
进一步的工作:
结合ALTQ中RED算法的连接耖尽攻击防范。尽 管对于非法IP的拦截PF可以大显身手,但对于完整TCP连接的消耖攻击,同样非常重要,下一篇将讲述如何利用RED (Random Early Detection)算法来适当保护合法用户。利用二八原则来区分用户的合法性。在表面上区分不了连接的合法性时,只能作适 当的牺牲,牺牲突然前来地访问的用户。作为保护服务器的不停机运行的第三把利剑,还可结合负载均衡来增强WEB服务器的高可用性.
