+设为首页 +添加到收藏夹
编者按:本文讨论的方法只是针对小规模的恶意攻击比较有效.
一.freebsd的魅力 【程序编程相关:骇客对其侵占的计算机的利用】
笔者公司共有10台web服务器,使用redhat linux 9作为操作系统,分布在全国各大城市,主要为用户提供http服务.曾经有一段时间不少用户反映有的服务器访问速度缓慢,甚至不能访问,检查后发现是受到了ddos攻击(分布式拒绝服务攻击).由于服务器分布太散,不能采用硬件防火墙的方案,虽然iptables功能很强大,足以应付大部分的攻击,但linux系统自身对ddos攻击的防御力本来就弱,只好另想办法了. 【推荐阅读:注册机破解法的原理和应对方法】
在使用freebsd后,的确过了一段时间的安稳日子.不过近日又有用户再次反映网站不能正常访问,表现症状为用户打开网页速度缓慢,或者直接显示为找不到网站.用netstat –a查看到来自某ip的连接刚好50个,状态均为fin_wait 1,这是属于明显的ddos攻击,看来freebsd没有防火墙也不是万能的啊,于是就想到了装防火墙. 【扩展信息:上天入地影无踪:十大超级老牌黑客逐个曝光】
发现freebsd的好处是在一次偶然的测试中,在lan里虚拟了一个internet,用一台windows客户端分别向一台windows server.linux server与一台freebsd在无任何防范措施的情况下发送syn flood数据包(常见的ddos攻击主要靠向服务器发送syn flood数据完成).windows在达到10个包的时候就完全停止响应了,linux在达到10个数据包的时候开始连接不正常,而freebsd却能承受达100个以上的syn flood数据包.笔者决定将公司所有的web服务器全换为freebsd平台.
看了n多资料,了解到freebsd下最常见的防火墙叫ip firewall,中文字面意思叫ip防火墙,简称ipfw.但如果要使用ipfw则需要编译freebsd系统内核.出于安全考虑,在编译结束后,ipfw是默认拒绝所有网络服务,包括对系统本身都会拒绝,这下我就彻底“寒”了,我放在外地的服务器可怎么弄啊?
大家这里一定要小心,配置稍不注意就可能让你的服务器拒绝所有的服务.笔者在一台装了freebsd 5.0 release的服务器上进行了测试.
二.配置ipfw
... 下一页