当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 小规模DDoS用Freebsd+IPFW搞定

安全基础
漏洞问题 RPC服务器安全配制
活用ftp自动上传文件至肉鸡
利用cmd躲过肉鸡防火墙方法
校园网方便的上网时段控制法
手把手教你穿透ADSL路由入侵内网
利用测试网站检测出你的浏览器安全级别
妙用你的hosts文件过滤插件和广告
个人隐私 你的系统文件保护好了吗
P2P中保障Windows网络安全的五大步骤
消除威胁 通过防火墙堵住VPN安全漏洞
天下无贼 两招解决IP地址盗用问题
DDoS防范和全局网络安全网络的应对
用Windows 2000安全审核让入侵者显形
宽带用户易被攻击 用户需注意七大方面
日志分析两部曲:充分利用日志保护网络
安全设置Windows组策略 有效阻止黑客
Win2000/XP中的自启动“后门”
小心 MSHTA漏洞为黑客大开远程控制之门
如何增强活动目录安全性的五个步骤
各种操作系统中密码文件的位置

安全基础 中的 小规模DDoS用Freebsd+IPFW搞定


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 57 ::
收藏到网摘: n/a

 

  编者按:本文讨论的方法只是针对小规模的恶意攻击比较有效。

  笔者公司共有10台Web服务器,使用Redhat Linux 9作为操作系统,分布在全国各大城市,主要为用户提供HTTP服务。曾经有一段时间不少用户反映有的服务器访问速度缓慢,甚至不能访问,检查后发现是受到了DDoS攻击(分布式拒绝服务攻击)。由于服务器分布太散,不能采用硬件防火墙的方案,虽然IPtables功能很强大,足以应付大部分的攻击,但Linux系统自身对DDoS攻击的防御力本来就弱,只好另想办法了。

  一、Freebsd的魅力

  发现Freebsd的好处是在一次偶然的测试中,在LAN里虚拟了一个Internet,用一台Windows客户端分别向一台Windows Server、Linux Server和一台Freebsd在无任何防范措施的情况下发送Syn Flood数据包(常见的DDoS攻击主要靠向服务器发送Syn Flood数据完成)。Windows在达到10个包的时候就完全停止响应了,Linux在达到10个数据包的时候开始连接不正常,而Freebsd却能承受达100个以上的Syn Flood数据包。笔者决定将公司所有的Web服务器全换为Freebsd平台。

  在使用Freebsd后,的确过了一段时间的安稳日子。不过近日又有用户再次反映网站不能正常访问,表现症状为用户打开网页速度缓慢,或者直接显示为找不到网站。用netstat –a查看到来自某IP的连接刚好50个,状态均为FIN_WAIT 1,这是属于明显的DDoS攻击,看来Freebsd没有防火墙也不是万能的啊,于是就想到了装防火墙。

  看了N多资料,了解到Freebsd下最常见的防火墙叫IP FireWall,中文字面意思叫IP防火墙,简称IPFW。但如果要使用IPFW则需要编译Freebsd系统内核。出于安全考虑,在编译结束后,IPFW是默认拒绝所有网络服务,包括对系统本身都会拒绝,这下我就彻底“寒”了,我放在外地的服务器可怎么弄啊?

  大家这里一定要小心,配置稍不注意就可能让你的服务器拒绝所有的服务。笔者在一台装了Freebsd 5.0 Release的服务器上进行了测试。

  二、配置IPFW

  其实我们完全可以把安装IPFW看作一次软件升级的过程,在Windows里面,如果要升级一款软件,则需要去下载升级包,然后安装;在Freebsd中升级软件过程也是如此,但我们今天升级的这个功能是系统本身已经内置了的,我们只需要利用这个功能即可。打开这个功能之前,我们还要做一些准备工作。

  下面开始配置IPFW的基本参数。

  Step1:准备工作
  在命令提示符下进行如下操作:
  #cd /sys/i386/conf
  如果提示没有这个目录,那说明你的系统没有安装ports服务,要记住装上。
  #cp GENERIC ./kernel_IPFW

  Step2:内核规则
  用编辑器打开kernel_IPFW这个文件,在该文件的末尾加入以下四行内容:
  options IPFIREWALL
  将包过滤部分的代码编译进内核。
  options IPFIREWALL_VERBOSE
  启用通过Syslogd记录的日志;如果没有指定这个选项,即使你在过滤规则中指定了记录包,也不会真的记录它们。
  options IPFIREWALL_VERBOSE_LI
  MIT=10
  限制通过Syslogd记录的每项包规则的记录条数。如果你受到了大量的攻击,想记录防火墙的活动,但又不想由于Syslog洪水一般的记录而导致你的日记写入失败,那么这个选项将会很有用。有了这条规则,当规则链中的某一项达到限制数值时,它所对应的日志将不再记录。
  options IPFIREWALL_DEFAULT_TO
  _ACCEPT

  这句是最关键的。将把默认的规则动作从 “deny” 改为 “allow”。这句命令的作用是,在默认状态下,IPFW会接受任何的数据,也就是说服务器看起来像没有防火墙一样,如果你需要什么规则,在安装完成后直接添加就可以了。

  输入完成后保存kernel_IPFW文件并退出。

  三、编译系统内核

  由于Freebsd和Linux一样,都是公开源代码的操作系统,不像Windows那样代码是封装了的,出了问题我们只能猜测,或者咨询微软公司;由于Freebsd系统内核在不断升级,我们为了使用新版本中的功能,或者定制一个更高效、更稳定的系统,通常需要编译系统内核。

  当然,我们在这里编译内核,是为了能得到一个更高效的系统,而不是使用新版本的功能;

  在编译的过程中,可能会提示一些错误,为了尽可能减少错误提示,我们已将配置文件缩减到了最少,如果再出现什么错误提示,请仔细检查是否有输入错误等细小问题。

  Step1:编译所需的命令
  在命令行上执行如下命令:
  #/usr/sbin/config kernel_IPFW
  执行结束后会出现如下提示:Kernel build directory is ../compile/kernel_IPFW Don't forget to do a make depend'
  #cd ../compile/kernel_IPFW
  在这个地方注意一下,Freebsd 4.X版本是../../compile/kernel_IPFW,但Freebsd 5.0版本却是../compile/kernel_IPFW。
  #make
  #make install

  Step2:开始编译内核

  根据系统性能差异,时间也有不同,普通双P4 XEON 1GB内存的