- 论坛徽章:
- 0
|
基于freebsd5.3下 PF synproxy的DDOS防范方案(转载+评论)
zjzf_1,不好意思我觉得概念不清的应该是你,所谓“代理”就是两方作通讯时通过一个中间人,甲方把数据交给中间人,中间人处理过后交给乙方。
synproxy基本原理不过是“中间人”使用乙方的ip地址,受到syn包后,代替乙方回syn/ack给甲方,如果甲方有回答,再发送syn给乙方,就避免了甲方用伪造ip作synflood。
普通网关式防火墙,是需要把乙放入内网,防火墙配乙的ip,把经过验证的包nat给乙方,就如楼主所转文章。
现在的问题是工作在桥模式下的话,这个中间人(防火墙)是隐藏的,不管甲还是乙都不知道其存在,优点是不修改现有网络结构,但是对于实现proxy就比较麻烦,所以pf的synproxy目前是不支持bridge方式下的proxy的,但是从原理来讲不是没有可能实现,不过要实现的话考虑的内容就要多很多了,双方的通讯你都要截获、分析、修改,并且需要伪装成某一方来完成握手,即使是实现了,可能效率上也有很大问题。
对于4dian 的解决方案比较感兴趣,如果可以的话,可否讲一下实现机制或者给些代码看看?
3w pps就撑不住了?
按照syn包40字节来算,40*3w=1200000bytes
再*8=9600000bits/sec
也就是9M的流量,好像不少软件防火墙使用的类似syncookie的技术都能在这种流量下基本不影响访问吧? |
|