基于freebsd5.3下 PF synproxy的DDOS防范方案

盛世唐朝

基于freebsd下 PF synproxy的DDOS防范方案
[摘要]
本文講述了基于freebsd5.3 下PF synproxy的DDOS防范方案，對(duì)于中小型企業(yè)抵擋每秒3萬(wàn)個(gè)包的攻擊不失為一種可用方案。
[環(huán)境]
防火墻：臺(tái)式機(jī)P4 2G，512內(nèi)存。 FREEBSD5.3
WEB服務(wù)器：筆記本PIII 700 256m, suse linux enterprise server 9
攻擊機(jī)器：筆記本：PIII 700 256M， WIN2000 SERVER
攻擊工具：HGOD v0.4
測(cè)試機(jī)：筆記本：PIII 700
拓樸：
=====
防火墻：xl0 外網(wǎng)卡：172.16.0.1; sis0 內(nèi)網(wǎng)卡：192.168.100.1
WEB服務(wù)器：eth0 192.168.100.2
攻擊機(jī)：172.16.0.194
測(cè)試機(jī)：172.16.0.195
一、編譯內(nèi)核
#cd /usr/src/sys/i386/conf
#cp GENERIC billy-pf
#vi billy-pf
添加：
device pf
device pflog
device pfsync
options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options ALTQ_NOPCC # Required for SMP build
#config billy-pf
#cd ../compile/billy-pf
#make depend;make make install
二、編輯啟動(dòng)腳本/etc/rc.conf
pf_enable="YES" # Enable PF (load module if required)
pf_rules="/etc/pf.conf" # rules definition file for pf
pf_flags="" # additional flags for pfctl startup
pflog_enable="YES" # start pflogd(8)
pflog_logfile="/var/log/pflog" # where pflogd should store the logfile
pflog_flags="" # additional flags for pflogd startup
gateway_enable="YES"
三、修改/etc/pf.conf
ext_if="xl0"
int_if="sis0"
internal_net="192.168.100.1/24"
external_addr="172.16.0.1"
web_server="192.168.100.2"
nat on ＄ext_if from ＄internal_net to any ->; (＄ext_if)
#(＄ext_if) 括起來(lái)的原因：如果你使用DHCP還配置外部地址，不括起來(lái)會(huì)存在問(wèn)題。如果你分配的IP地址改變了，NAT仍然會(huì)使用舊的IP地址轉(zhuǎn)換出去的數(shù)據(jù)包。這會(huì)導(dǎo)致對(duì)外的連接停止工作。為解決這個(gè)問(wèn)題，應(yīng)該給接口名稱加上括號(hào)，告訴PF自動(dòng)更新轉(zhuǎn)換地址。
rdr on ＄ext_if proto tcp from any to ＄external_addr/32 port 80 ->; ＄web_server port 80
#這一行重定向了TCP端口80（web服務(wù)器）流量到內(nèi)部網(wǎng)絡(luò)地址＄web_server。因此，即使＄web_server在網(wǎng)關(guān)后面的內(nèi)部網(wǎng)絡(luò)，外部仍然能夠訪問(wèn)它。
pass in on ＄ext_if proto tcp from any to ＄web_server port 80 flags S/SA synproxy state
#連到外部地址的80端口，作SYNPROXY，以防DDOS攻擊
四、修改192.168.100.2的網(wǎng)關(guān)IP為192.168.100.1
五、修改/etc/sysctl.conf
net.inet.ip.forwarding=1
使防火墻進(jìn)行IP轉(zhuǎn)發(fā)
重啟
六、測(cè)試
攻擊前先訪問(wèn)http://172.16.0.1/index.html，正常打開(kāi)了WEB服務(wù)器上的主頁(yè)
攻擊：
往防火墻的外部IP172.16.0.1的80端口發(fā)動(dòng)DDOS攻擊。
hgod 172.16.0.1 80
觀察WEB服務(wù)器192.168.100.2上的80端口連接情況和收到的包數(shù)。
統(tǒng)計(jì)防火墻上受攻擊強(qiáng)度（包/每秒）。
speed.sh
#!/bin/sh
oldval=0
curval=0
while true
do
curval=`netstat -i | grep xl0 | head -1 | awk '{print ＄5}'
if [ ＄oldval = 0 ]; then
old=＄curval
else
echo `date`" pkg inbound rate on xl0: ＄((＄curval-＄oldval)) pps"
oldval=＄curval
fi
sleep 1
done
`
七、測(cè)試結(jié)果
DDOS攻擊下，防火墻接收到的包速率為：2.6萬(wàn)-2.8萬(wàn)個(gè)包每秒
在PF的保護(hù)下，僅DDOS攻擊時(shí)，WEB服務(wù)器沒(méi)有收到一個(gè)包，說(shuō)明防火墻全擋住了非法包。
去掉SYNPROXY的保護(hù)，即最后一條規(guī)則時(shí)，WEB服務(wù)器收到的包速成率與防火墻收到的包相當(dāng)。訪問(wèn)WEB服務(wù)器時(shí)被拒絕。
在PF保護(hù)下，WEB_server的訪問(wèn)正常。
結(jié)論：
基于PF的防DDOS攻擊對(duì)于每秒3萬(wàn)個(gè)包以下的攻擊抵擋效果出色。對(duì)于更大流量的攻擊，有待進(jìn)一步測(cè)試。
進(jìn)一步的工作:
結(jié)合ALTQ中RED算法的連接耖盡攻擊防范。
盡管對(duì)于非法IP的攔截PF可以大顯身手，但對(duì)于完整TCP連接的消耖攻擊，同樣非常重要，下一篇將講述如何利用RED（Random Early Detection)算法來(lái)適當(dāng)保護(hù)合法用戶。利用二八原則來(lái)區(qū)分用戶的合法性。在表面上區(qū)分不了連接的合法性時(shí)，只能作適當(dāng)?shù)臓奚�，犧牲突然前�?lái)地訪問(wèn)的用戶。
作為保護(hù)服務(wù)器的不停機(jī)運(yùn)行的第三把利劍，還可結(jié)合負(fù)載均衡來(lái)增強(qiáng)WEB服務(wù)器的高可用性.

本文來(lái)自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u/13956/showart_235787.html