Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    SORU: pfSense ve DDoS

    Scheduled Pinned Locked Moved Turkish
    5 Posts 4 Posters 4.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • X
      xevon
      last edited by

      Merhabalar,

      Kabaca dual E5520 nehalem işlemciye, 8gb belleğe ve gbitlik pci-e intel ethernet adaptera sahip bir dell makinam mevcut. Bu makinaya pfSense ve snort eklentisi kurarak snort kuralları vasıtasıyla 350-400mbit'lik bir ddosu engellemem mümkün olurmu? Hali hazırda bir router-firewall cihazım mevcut, ddos durumunda yurtdışı ip bloklarını /16 ile paket bazlı limitleyip saldırı etkisini minimuma çekiyor fakat aşağı yukarı 180mbit/250kpps'e kadar filtreleyebiliyor. Bu kapasitenin üstünde saldırı geldiği için router yükü kaldıramıyor ve tüm network down konuma geliyor. Dell makinaya kuracağım pfSense'i mevcut routerın önünde bridge modda transparan olarak çalıştırıp trafiği süzdürmek istiyorum.

      Bu denkleme göre;

      • Snort'un kuralları DDoS(veya spoofed DoS) engelleyecek algoritmaları içeriyormu?
      • pfSense kerneli bu kadar yükü kaldırabilirmi?
      • Kaldırırsa bahsi geçen sistem kaynaklarını zorlarmı ve/veya bu sistem kaynaklarını tam verimle kullanabilirmi?

      Cevaplarınız için şimdiden teşekkür ederim.

      1 Reply Last reply Reply Quote 0
      • O
        ozanus
        last edited by

        Selamlar,
        Gelen DDOS saldırısına ve gelen saldırının band genişliğine göre değişir.Dışarıdan yapılan 350-400mbit'lik saldırı sizin mevcut band genişliğinizden yüsekse teorik olarak engellemek pek mümkün değil.

        En etkili ddos saldırılarından, syn flood ve ip spoof saldırılarına karşı ;

        • pf syn proxy özelliği
        • snort oldukça verimli çalışır.
          Snort'un ddos için kuralları var ayrıca kendiniz kural yazmak isterseniz pfsense arayüzünden snort'a kural yazmakda bayağı kolay.

        Bir botnet ağından yapılan saldırı durumlarında;

        • tcp timeout süresi
        • saniyede açılabilecek eş zamanlı bağlantı sayısı
        • bir ip adresinden gelecek maksimum bağlantı sayısı
        • istemciye (örn. webserver) gelecek maksimum baglanti sınırı uygulanabilir.

        Hizmet verdiğiniz sistemlerin amacına göre, ülkelere hatta bölgelere göre pfSense'in "aliase" özelliğini kullanarak ip grubu oluşturarak kara liste mantığında  filtreleme/blocklama yapabilirsiniz.

        Gerek saldırı anında gerçek zamanlı olarak gerekse geçmişe yönelik trafiği ayrıntılı incelemek içinde paket deposunda kullanabileceğiniz bir çok araç var.pfSense ve DDOS ikilemi için aklıma gelenler bunlar, yoksa ddos için alınacak bayağı önlem var.

        Bu konuyu tartışıp, genişletebilir hatta pfSense üzerinde testler yapabiliriz :)
        Saygılarımla

        1 Reply Last reply Reply Quote 0
        • X
          xevon
          last edited by

          Tekrar merhabalar,

          Sistemi kurduktan sonra size özel mesaj vasıtasıyla haber edeyim, beraber test edelim.

          Teşekkürler.

          1 Reply Last reply Reply Quote 0
          • U
            ugur
            last edited by

            ddos olmasına bile gerek yok.
            büyük döver küçüğü ilkesi geçerlidir.

            aradaki fark ne kadar büyük ise tolere edilmesi o kadar zorlaşır

            -
            Ugur.

            1 Reply Last reply Reply Quote 0
            • tuzsuzdeliT
              tuzsuzdeli
              last edited by

              Donanımla ilgili
              -Pfsense 32 bit olduğundan sizin makinenizdeki 8gb ram'in tamamını adresleyemeyebilir, onu bir kontrol etmeniz lazım. maximum 4gb kullanır herhalde.

              -Sizin sisteminizde işlemci değil de, pci veri yolu hızı bir bottleneck oluşturabilir.
              Ethernet kartlarınız pci-e 1.1 ise 250 MB/s (ki bu problem olabilir), pci-e 2.0 ise 500 MB/s kapasite ile çalışır.

              Performans ile ilgili fikir olması açsıından şu pdf dosyayı bi inceleyin
              http://pam2007.info.ucl.ac.be/slides/pam2007slides_schneider.pdf

              Çözümün bir parçası değilsen, sorunun bir parçasısındır.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.