抗DDOS攻击方案.docxVIP

FreeBSD 8.1+PF+Nginx 抗DDOS不限流量攻击（理论）一、方案简介：? 本方案运用了智能域名解析、DNS负载均衡、FreeBsd+PF、包过滤、状态检测、流量整合、内核定制、网路聚合、Nginx负载均衡、SYNPROXY等最新技术。??处理思路：目前流行的DDOS攻击一般是针对域名攻击（针对IP，最简单有效的就是换个IP）。域名攻击的第一步是解析域名。1.第一步作智能DNS解析，按全国不同地区访问解析成不同的IP（类似CDN）。注：目地是解决分化攻击来源，使攻击量达到防火墙可承受范围（别防火墙启都启不来，那其它的都没有用处），可只解析自己业务所在的地区。其它解析成（解析成本机，这样攻击就变成攻击他自己了，呵）或按每个地区放置不同的WEB服务器、也可以只放置软防火墙（后面有说到如何配置，有硬件防火墙的当然硬件防火墙比较好，但要全国各地都放他十个几十台的话那价格也不非。）2.配置防火墙，对访问IP进行状态检测与流量整合、包过滤、IP连接限制等。注：过滤流量和一些简单类型的攻击、并对客户端重复连接数进行限制。减轻后端压力。防火墙建议二台以上，网卡建议4块以上INTEL芯片作聚合，少的话网卡直接就无法启动。3.配置Nginx进行负载均衡。注：对访问的IP进行进一步分流，并把访问转发至后端口WEB服务器（在100M左右流量攻击中,SSH都连接不上，NGINX居然还在转发，好奇怪哦）。也可以使用LVS配置负载均衡。4.后端服务器（原来就有，不需要配置）注：配有外网IP，也可以只配置内网IP。只要能正常访问就可以，不论在内网正常访问还是在外网。此服务器可以有N个，建议最少要有5台以上（可以运行其它服务）。 注：此方案的优点是成本低，不需要变动原有网络架构，可行性高，配置简单。可以根据实际情况很方便地进行横向扩展与纵向扩展（增加和减少服务器数量或提高单台服务器性能），还可以作访问高峰时的应急措施和学习大型网站架构的一点雏形。二、实际效果 实际单台防火墙可以抗60M左右（这个流量大小可以通过DNS智能解析调整），受限总出口带宽与设备能力。理论上只要设备与带宽跟的上可以抗无限的DDOS攻击。目前单台防火墙已经运行近一个月，没有出现其它服务器受到影响问题。受攻击的网站也只有在攻击高峰时，用netstat -an|wc 连接数超过200W时，才会访问很慢。并在攻击减缓时，自动恢复正常服务。三、环境要求硬件环境要求： DNS服务器：硬件一般无要求。 防火墙：4块INTEL芯片1000M网卡，二颗4核5340CPU。16G内存（4通道）SCSI硬盘（空间146G）。 WEB服务器：无要求，使用原来正常运行服务器或PC机。软件环境要求： DNS服务器：最小化安装FB8.1+BIND95 P4 其它不装 防火墙：最小化安装FB8.1+NGINX （PF编译内核进启用） WEB服务器：无要求，只要能正常访问（不论内网还是外网）四、安装与配置DNS 1.最小化安装FB8.0，程序包要加入ports,注意分区时：/目录要大，建议为10G内核升级使用。 2.开启SSH，允许ROOT登录。/etc/ssh/sshd_configPermitRootLogin yesecho sshd_enable=YES /etc/rc.conf注意：YES要大写，是二个，追加。/etc/rc.d/sshd start注：SSH启动以后就可以用SSH操作 3.安装CVSUPcd /usr/ports/net/cvsup/make install cleanrehash 4.更新ports与系统源码 cd /usr/share/examples/cvsupee ports-supfile*default host=? 注：修改CVSUP源。ee stable-supfile同上一样修改CVSUP源，此为稳定版standard-supfile为开发版。cvsup -L 2 ports-supfile cvsup -L 2 ports-supfile 5.内核编译与定制 cd /usr/src 5.1?make?buildworld??这步操作会联编新的编译器， 以及少量相关工具， 并在随后使用新的编译器来联编 world。联编的结果会存放在/usr/obj。 5.2?make?buildkernel??与旧式的、 使用?/cgi/man.cgi?query=configsektion=8config(8)?和?/cgi/man.cgi?query=makesektion=1make(1)?的方法不同，这种做法会使用存放于?/usr/obj?中的?新的?编译器。这种做法使得您免去了由于编译器与内核源代码不一致导致的问题。 5.3??make?installkernel