SORU: pfSense ve DDoS



  • Merhabalar,

    Kabaca dual E5520 nehalem işlemciye, 8gb belleğe ve gbitlik pci-e intel ethernet adaptera sahip bir dell makinam mevcut. Bu makinaya pfSense ve snort eklentisi kurarak snort kuralları vasıtasıyla 350-400mbit'lik bir ddosu engellemem mümkün olurmu? Hali hazırda bir router-firewall cihazım mevcut, ddos durumunda yurtdışı ip bloklarını /16 ile paket bazlı limitleyip saldırı etkisini minimuma çekiyor fakat aşağı yukarı 180mbit/250kpps'e kadar filtreleyebiliyor. Bu kapasitenin üstünde saldırı geldiği için router yükü kaldıramıyor ve tüm network down konuma geliyor. Dell makinaya kuracağım pfSense'i mevcut routerın önünde bridge modda transparan olarak çalıştırıp trafiği süzdürmek istiyorum.

    Bu denkleme göre;

    • Snort'un kuralları DDoS(veya spoofed DoS) engelleyecek algoritmaları içeriyormu?
    • pfSense kerneli bu kadar yükü kaldırabilirmi?
    • Kaldırırsa bahsi geçen sistem kaynaklarını zorlarmı ve/veya bu sistem kaynaklarını tam verimle kullanabilirmi?

    Cevaplarınız için şimdiden teşekkür ederim.



  • Selamlar,
    Gelen DDOS saldırısına ve gelen saldırının band genişliğine göre değişir.Dışarıdan yapılan 350-400mbit'lik saldırı sizin mevcut band genişliğinizden yüsekse teorik olarak engellemek pek mümkün değil.

    En etkili ddos saldırılarından, syn flood ve ip spoof saldırılarına karşı ;

    • pf syn proxy özelliği
    • snort oldukça verimli çalışır.
      Snort'un ddos için kuralları var ayrıca kendiniz kural yazmak isterseniz pfsense arayüzünden snort'a kural yazmakda bayağı kolay.

    Bir botnet ağından yapılan saldırı durumlarında;

    • tcp timeout süresi
    • saniyede açılabilecek eş zamanlı bağlantı sayısı
    • bir ip adresinden gelecek maksimum bağlantı sayısı
    • istemciye (örn. webserver) gelecek maksimum baglanti sınırı uygulanabilir.

    Hizmet verdiğiniz sistemlerin amacına göre, ülkelere hatta bölgelere göre pfSense'in "aliase" özelliğini kullanarak ip grubu oluşturarak kara liste mantığında  filtreleme/blocklama yapabilirsiniz.

    Gerek saldırı anında gerçek zamanlı olarak gerekse geçmişe yönelik trafiği ayrıntılı incelemek içinde paket deposunda kullanabileceğiniz bir çok araç var.pfSense ve DDOS ikilemi için aklıma gelenler bunlar, yoksa ddos için alınacak bayağı önlem var.

    Bu konuyu tartışıp, genişletebilir hatta pfSense üzerinde testler yapabiliriz :)
    Saygılarımla



  • Tekrar merhabalar,

    Sistemi kurduktan sonra size özel mesaj vasıtasıyla haber edeyim, beraber test edelim.

    Teşekkürler.



  • ddos olmasına bile gerek yok.
    büyük döver küçüğü ilkesi geçerlidir.

    aradaki fark ne kadar büyük ise tolere edilmesi o kadar zorlaşır



  • Donanımla ilgili
    -Pfsense 32 bit olduğundan sizin makinenizdeki 8gb ram'in tamamını adresleyemeyebilir, onu bir kontrol etmeniz lazım. maximum 4gb kullanır herhalde.

    -Sizin sisteminizde işlemci değil de, pci veri yolu hızı bir bottleneck oluşturabilir.
    Ethernet kartlarınız pci-e 1.1 ise 250 MB/s (ki bu problem olabilir), pci-e 2.0 ise 500 MB/s kapasite ile çalışır.

    Performans ile ilgili fikir olması açsıından şu pdf dosyayı bi inceleyin
    http://pam2007.info.ucl.ac.be/slides/pam2007slides_schneider.pdf


Log in to reply