我们来探讨如何用MONO抗ddos

su30fly · 发表于 2005-5-4 00:29:04

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

在我使用MONO过程中,我发现MONO抵抗ddos能力不错.比routeos性能要好得多.在30多M的TYN FLOOD攻击下.还能正常提供NAT.但cpu到98%.但做端口映射时,用ddos软件攻击映射了的端口,但明显感觉cpu吃力多了,并还是起到了拒绝服务的效果(mono后面的端口映射已经失效了).本人十分郁闷.如何在MONO的基础上提高抗ddos的能力,看各位高手能否给些解决方案,特别希望刘思敏小姐伸把手.

smart · 发表于 2005-5-5 00:20:22

个人感觉MONO的安全性要好的多，要想在受到攻击的时候还能保持网络正常的话最好是把机器的性能提升，比如换个更好的CPU，最好是P4或C4的，增加内存到256M，这只是个人的意见，楼主可以做个测试也好让我们更加了解MONO。

su30fly · 发表于 2005-5-5 23:23:28

楼上的老弟,我的机器是c3图拉丁1.3G,256M.我也想如果提高CPU性能,也许抵抗攻击的能力更好些.我也要朋友测试了下.在10M外网的攻击流量下,NAT 7000 (nat传奇服务器的端口)就已经拒绝服务了,此时MONO的cpu为58%,并mono开始掉包,平均5个包掉一个.我也没有弄明白是MONO拒绝服务还是传奇服务器拒绝服务.郁闷+头疼不只有什么rules可以添加.来提高抗ddos....................

su30fly · 发表于 2005-5-5 23:29:09

voatec,你在看我们的贴子吗?有什么好的建议!我在想pfsense可以达到我的要求吗?

smart · 发表于 2005-5-6 22:03:46

楼主的机器配置应该没有什么问题，至少比俺的要好的多，至于掉包的问题小弟认为可能还是攻击的包的量比较大从而导致网络堵塞所造成的，至少MONO还没有垮掉，如果换个其他的象ROS或者COYOTE的话估计已经瘫痪了。要彻底的解决的话看来只有斑竹亲自出马了，最好给我们编个RULES，让大家都受益就好了。

su30fly · 发表于 2005-5-6 23:36:11

不是堵塞,我是在内网ping的服务器的内网的网卡呀,受攻击的是外网的网卡.掉包是mono的问题.我做过实验,攻击ROS的时候,ROS力马就下课了.基本上是ping不通了.smart,你用过pfsense吗,效果如何?是呀,期待版主该出来发个话了.

analyst · 发表于 2005-5-6 23:55:05

建议打开exec.php输入命令：

QUOTE
sysctl net.inet.tcp.msl=2000sysctl net.inet.tcp.syncookies=1
然后再测试一下。

su30fly · 发表于 2005-5-7 00:56:07

老大,我这两个都执行试了的,但没有太大的效果.sysctl net.inet.tcp.syncookies=1本身就开启了.还有没有其它的调节选项?

analyst · 发表于 2005-5-7 21:47:19

那就在内核开polling。

txwwy · 发表于 2005-5-7 23:38:27

mono 不支持pool

su30fly · 发表于 2005-5-8 00:38:10

QUOTE (analyst @ May 7 2005, 09:47 PM)
那就在内核开polling。
老大,你说的polling是什么东东呀?解释下好吗?

analyst · 发表于 2005-5-8 07:45:14

QUOTE (txwwy @ May 7 2005, 11:38 PM)
mono  不支持pool
  知道，所以需要自己编译一下内核。参看m0n0.ch上的hack说明：

QUOTE
The KernelIn order to get m0n0wall to build we have to compile the kernel for m0n0wall using the kernel config file as found on http://m0n0.ch/wall/downloads. Place this config file (M0N0WALL_NET45XX) in /usr/src/sys/i386/conf. Now build the kernel: cd /usr/src/sys/i386/conf; config M0N0WALL_NET45XXcd /usr/src/sys/compile/M0N0WALL_NET45XX; make depend all       strip kernel       strip --remove-section=.note --remove-section=.comment kernelgzip -9v kernel          copy the kernel to /tftpboot cp kernel.gz  /tftpboot

analyst · 发表于 2005-5-8 07:49:48

QUOTE (su30fly @ May 8 2005, 12:38 AM)

QUOTE (analyst @ May 7 2005, 09:47 PM)
那就在内核开polling。
老大,你说的polling是什么东东呀?解释下好吗?
都是中文的：http://www.google.com/search?hl=zh-CN&neww...2&lr=lang_zh-CNhttp://www.baidu.com/s?ie=gb2312&bs=freebs...g&ct=0&cl=3&f=8

su30fly · 发表于 2005-5-8 12:57:40

M0N0WALL_NET45XX是已经编译好了的内核配置文件吗.我用exec.php怎么进不了/usr/src/sys/i386/conf这个目录.在网上找了点资料还是没有搞明白,我的mono是1.2b7的版本.在mono里如何重新编译,老大,盼解!

edwardj · 发表于 2005-5-9 12:12:32

你需要装个 Freebsd，做编译。polling 分网卡的，支持的网卡不太多。 Device polling requires explicit modifications to the device drivers. As of this writing, the dc(4), em(4), fwe(4), fxp(4), nge(4), rl(4), sis(4), ste(4), and vr(4) devices are supported, with others in the works.

账号		自动登录	找回密码
密码			注册