小規(guī)模DDoS(拒絕服務(wù))用Freebsd+IPFW搞定

　　一、Freebsd的魅力

　　發(fā)現(xiàn)Freebsd的好處是在一次偶然的測(cè)試中，在LAN里虛擬了一個(gè)Internet，用一臺(tái)Windows客戶端分別向一臺(tái)Windows Server、Linux Server和一臺(tái)Freebsd在無(wú)任何防范措施的情況下發(fā)送Syn Flood數(shù)據(jù)包(常見的DDoS攻擊主要靠向服務(wù)器發(fā)送Syn Flood數(shù)據(jù)完成)。Windows在達(dá)到10個(gè)包的時(shí)候就完全停止響應(yīng)了，Linux在達(dá)到10個(gè)數(shù)據(jù)包的時(shí)候開始連接不正常，而Freebsd卻能承受達(dá)100個(gè)以上的Syn Flood數(shù)據(jù)包。筆者決定將公司所有的Web服務(wù)器全換為Freebsd平臺(tái)。

　　在使用Freebsd后，的確過了一段時(shí)間的安穩(wěn)日子。不過近日又有用戶再次反映網(wǎng)站不能正常訪問，表現(xiàn)癥狀為用戶打開網(wǎng)頁(yè)速度緩慢，或者直接顯示為找不到網(wǎng)站。用netstat ?a查看到來自某IP的連接剛好50個(gè)，狀態(tài)均為FIN_WAIT 1，這是屬于明顯的DDoS攻擊，看來Freebsd沒有防火墻也不是萬(wàn)能的啊，于是就想到了裝防火墻。

　　看了N多資料，了解到Freebsd下最常見的防火墻叫IP FireWall，中文字面意思叫IP防火墻，簡(jiǎn)稱IPFW。但如果要使用IPFW則需要編譯Freebsd系統(tǒng)內(nèi)核。出于安全考慮，在編譯結(jié)束后，IPFW是默認(rèn)拒絕所有網(wǎng)絡(luò)服務(wù)，包括對(duì)系統(tǒng)本身都會(huì)拒絕，這下我就徹底“寒”了，我放在外地的服務(wù)器可怎么弄啊?

　　大家這里一定要小心，配置稍不注意就可能讓你的服務(wù)器拒絕所有的服務(wù)。筆者在一臺(tái)裝了Freebsd 5.0 Release的服務(wù)器上進(jìn)行了測(cè)試。

　　二、配置IPFW

　　其實(shí)我們完全可以把安裝IPFW看作一次軟件升級(jí)的過程，在Windows里面，如果要升級(jí)一款軟件，則需要去下載升級(jí)包，然后安裝;在Freebsd中升級(jí)軟件過程也是如此，但我們今天升級(jí)的這個(gè)功能是系統(tǒng)本身已經(jīng)內(nèi)置了的，我們只需要利用這個(gè)功能即可。打開這個(gè)功能之前，我們還要做一些準(zhǔn)備工作。

　　下面開始配置IPFW的基本參數(shù)。

　　Step1:準(zhǔn)備工作

　　在命令提示符下進(jìn)行如下操作:

　　#cd /sys/i386/conf

　　如果提示沒有這個(gè)目錄，那說明你的系統(tǒng)沒有安裝ports服務(wù)，要記住裝上。

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]