- asa 5510 DDOS,
 Aleks305, 23:18 , 08-Июн-12 (1)> Доброе время суток!
> Имеется asa 5510 и за ним висит веб-сервак. На asa 5510 настроен
> Connection Limits and Timeouts следующим образом:
> Max connection: 1024
> Max embrionic connection: 3072
> Per-client-max: 3
> Per-client-max-embrionic: 9
> Таймаут понижен до минимума...
> Все равно проходит DDOS и нагрузка процессора возрастает резко.
> Как отбросить лишные соединения на asa, чтобы они не доходили до сервака? от всех dos такая настройка не защитит. а в чем смысл Per-client-max-embrionic: 9? почему значение больше чем er-client-max: 3
Сервак можно загасить http-запросами или с использованием уязвимостей ПО web-сервера
- asa 5510 DDOS, Merridius, 10:33 , 09-Июн-12 (2)
>[оверквотинг удален]
>> Max connection: 1024
>> Max embrionic connection: 3072
>> Per-client-max: 3
>> Per-client-max-embrionic: 9
>> Таймаут понижен до минимума...
>> Все равно проходит DDOS и нагрузка процессора возрастает резко.
>> Как отбросить лишные соединения на asa, чтобы они не доходили до сервака?
> от всех dos такая настройка не защитит. а в чем смысл Per-client-max-embrionic:
> 9? почему значение больше чем er-client-max: 3
> Сервак можно загасить http-запросами или с использованием уязвимостей ПО web-сервера Все правильно, сначала нужно определить что за ddos. Если допустим HTTP Get request, то ограничения tcp соединений вам не сильно помогут, тут нужен комплексный подход, включая использование IPS.
- asa 5510 DDOS, Mirage_sk, 11:19 , 09-Июн-12 (3)
>[оверквотинг удален]
>>> Per-client-max-embrionic: 9
>>> Таймаут понижен до минимума...
>>> Все равно проходит DDOS и нагрузка процессора возрастает резко.
>>> Как отбросить лишные соединения на asa, чтобы они не доходили до сервака?
>> от всех dos такая настройка не защитит. а в чем смысл Per-client-max-embrionic:
>> 9? почему значение больше чем er-client-max: 3
>> Сервак можно загасить http-запросами или с использованием уязвимостей ПО web-сервера
> Все правильно, сначала нужно определить что за ddos. Если допустим HTTP Get
> request, то ограничения tcp соединений вам не сильно помогут, тут нужен
> комплексный подход, включая использование IPS.Вот что показывакт ASA: 6 Jun 07 2012 16:02:10 302014 31.192.16.162 52765 10.205.10.2 80 Teardown TCP connection 183808 for outside:31.192.16.162/52765 to inside: 10.205.10.2/80 duration 0:01:05 bytes 30142 TCP FINs Это IPTables Jun 7 16:02:19 web kernel: ip_conntrack: table full, dropping packet.
Jun 7 16:02:27 web kernel: printk: 219 messages suppressed. В логах Nginx нашел множество HTTP Get request....
Но есть проблема - нет дополнительных модулей... Версия ASA 8.2(1)
Лицензия - Security Plus
- asa 5510 DDOS, Mirage_sk, 12:25 , 11-Июн-12 (4)
>[оверквотинг удален]
> 6 Jun 07 2012 16:02:10 302014 31.192.16.162 52765 10.205.10.2 80 Teardown TCP
> connection 183808 for outside:31.192.16.162/52765 to inside: 10.205.10.2/80 duration
> 0:01:05 bytes 30142 TCP FINs
> Это IPTables
> Jun 7 16:02:19 web kernel: ip_conntrack: table full, dropping packet.
> Jun 7 16:02:27 web kernel: printk: 219 messages suppressed.
> В логах Nginx нашел множество HTTP Get request....
> Но есть проблема - нет дополнительных модулей...
> Версия ASA 8.2(1)
> Лицензия - Security Plus Самостоятельно (что нашел) настройл следующее: threat-detection rate dos-drop rate-interval 600 average-rate 2 burst-rate 2
threat-detection rate dos-drop rate-interval 3600 average-rate 2 burst-rate 2
threat-detection rate bad-packet-drop rate-interval 600 average-rate 2 burst-rate 2
threat-detection rate bad-packet-drop rate-interval 3600 average-rate 2 burst-rate 2
threat-detection rate conn-limit-drop rate-interval 600 average-rate 3 burst-rate 3
threat-detection rate conn-limit-drop rate-interval 3600 average-rate 3 burst-rate 3
threat-detection rate scanning-threat rate-interval 600 average-rate 2 burst-rate 2
threat-detection rate scanning-threat rate-interval 3600 average-rate 2 burst-rate 2
threat-detection rate syn-attack rate-interval 600 average-rate 2 burst-rate 2
threat-detection rate syn-attack rate-interval 3600 average-rate 2 burst-rate 2
threat-detection rate inspect-drop rate-interval 600 average-rate 2 burst-rate 2
threat-detection rate inspect-drop rate-interval 3600 average-rate 2 burst-rate 2
threat-detection basic-threat
threat-detection scanning-threat shun duration 600
threat-detection statistics
threat-detection statistics host number-of-rate 2
threat-detection statistics tcp-intercept rate-interval 15 burst-rate 30 average-rate 30 class-map HTTP
match port tcp eq www
class-map TCPNORM
match any
class-map CONNS
match any
class-map inspection_default
match default-inspection-traffic
class-map HTTP_1
match port tcp eq www
policy-map type inspect http HTTP_1
parameters
protocol-violation action drop-connection log
match request header content-length length gt 256
drop-connection log
policy-map CONNS
class CONNS
set connection conn-max 1024 embryonic-conn-max 128 per-client-max 254 per-client-embryonic-max 3
set connection timeout embryonic 0:00:05 half-closed 0:05:00 tcp 0:30:00 reset dcd 0:00:05 3
class TCPNORM
set connection advanced-options TCPNORM
class HTTP_1
inspect http HTTP_1
service-policy CONNS interface outside
Сможете указаь, что еще можно настройть, или куда рыть?
С уважением!
|
Версия для распечатки
asa 5510 DDOS, 
