forum.opennet.ru - "asa 5510 DDOS" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"asa 5510 DDOS"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"asa 5510 DDOS"	+/–
Сообщение от Mirage_sk (ok) on 08-Июн-12, 16:20
Доброе время суток! Имеется asa 5510 и за ним висит веб-сервак. На asa 5510 настроен Connection Limits and Timeouts следующим образом: Max connection: 1024 Max embrionic connection: 3072 Per-client-max: 3 Per-client-max-embrionic: 9 Таймаут понижен до минимума... Все равно проходит DDOS и нагрузка процессора возрастает резко. Как отбросить лишные соединения на asa, чтобы они не доходили до сервака?
Ответить \| Правка \| Cообщить модератору

Оглавление

asa 5510 DDOS, Aleks305, 23:18 , 08-Июн-12, (1)

asa 5510 DDOS, Merridius, 10:33 , 09-Июн-12, (2)

asa 5510 DDOS, Mirage_sk, 11:19 , 09-Июн-12, (3)

asa 5510 DDOS, Mirage_sk, 12:25 , 11-Июн-12, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "asa 5510 DDOS" +/–

Сообщение от Aleks305 (ok) on 08-Июн-12, 23:18

> Доброе время суток!
> Имеется asa 5510 и за ним висит веб-сервак. На asa 5510 настроен
> Connection Limits and Timeouts следующим образом:
> Max connection: 1024
> Max embrionic connection: 3072
> Per-client-max: 3
> Per-client-max-embrionic: 9
> Таймаут понижен до минимума...
> Все равно проходит DDOS и нагрузка процессора возрастает резко.
> Как отбросить лишные соединения на asa, чтобы они не доходили до сервака?
от всех dos такая настройка не защитит. а в чем смысл Per-client-max-embrionic: 9? почему значение больше чем  er-client-max: 3
Сервак можно загасить http-запросами или с использованием уязвимостей ПО web-сервера

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "asa 5510 DDOS" +/–

Сообщение от Merridius (ok) on 09-Июн-12, 10:33

>[оверквотинг удален]
>> Max connection: 1024
>> Max embrionic connection: 3072
>> Per-client-max: 3
>> Per-client-max-embrionic: 9
>> Таймаут понижен до минимума...
>> Все равно проходит DDOS и нагрузка процессора возрастает резко.
>> Как отбросить лишные соединения на asa, чтобы они не доходили до сервака?
> от всех dos такая настройка не защитит. а в чем смысл Per-client-max-embrionic:
> 9? почему значение больше чем  er-client-max: 3
> Сервак можно загасить http-запросами или с использованием уязвимостей ПО web-сервера
Все правильно, сначала нужно определить что за ddos. Если допустим HTTP Get request, то ограничения tcp соединений вам не сильно помогут, тут нужен комплексный подход, включая использование IPS.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "asa 5510 DDOS" +/–

Сообщение от Mirage_sk (ok) on 09-Июн-12, 11:19

>[оверквотинг удален]
>>> Per-client-max-embrionic: 9
>>> Таймаут понижен до минимума...
>>> Все равно проходит DDOS и нагрузка процессора возрастает резко.
>>> Как отбросить лишные соединения на asa, чтобы они не доходили до сервака?
>> от всех dos такая настройка не защитит. а в чем смысл Per-client-max-embrionic:
>> 9? почему значение больше чем  er-client-max: 3
>> Сервак можно загасить http-запросами или с использованием уязвимостей ПО web-сервера
> Все правильно, сначала нужно определить что за ddos. Если допустим HTTP Get
> request, то ограничения tcp соединений вам не сильно помогут, тут нужен
> комплексный подход, включая использование IPS.
Вот что показывакт ASA:
6    Jun 07 2012    16:02:10    302014    31.192.16.162    52765    10.205.10.2    80    Teardown TCP connection 183808 for outside:31.192.16.162/52765 to inside: 10.205.10.2/80 duration 0:01:05 bytes 30142 TCP FINs
Это IPTables
Jun  7 16:02:19 web kernel: ip_conntrack: table full, dropping packet.
Jun  7 16:02:27 web kernel: printk: 219 messages suppressed.
В логах Nginx нашел множество HTTP Get request....
Но есть проблема - нет дополнительных модулей...
Версия ASA 8.2(1)
Лицензия - Security Plus

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "asa 5510 DDOS" +/–

Сообщение от Mirage_sk (ok) on 11-Июн-12, 12:25

>[оверквотинг удален]
> 6 Jun 07 2012 16:02:10 302014 31.192.16.162 52765 10.205.10.2 80 Teardown TCP
> connection 183808 for outside:31.192.16.162/52765 to inside: 10.205.10.2/80 duration
> 0:01:05 bytes 30142 TCP FINs
> Это IPTables
> Jun  7 16:02:19 web kernel: ip_conntrack: table full, dropping packet.
> Jun  7 16:02:27 web kernel: printk: 219 messages suppressed.
> В логах Nginx нашел множество HTTP Get request....
> Но есть проблема - нет дополнительных модулей...
> Версия ASA 8.2(1)
> Лицензия - Security Plus
Самостоятельно (что нашел) настройл следующее:
threat-detection rate dos-drop rate-interval 600 average-rate 2 burst-rate 2
threat-detection rate dos-drop rate-interval 3600 average-rate 2 burst-rate 2
threat-detection rate bad-packet-drop rate-interval 600 average-rate 2 burst-rate 2
threat-detection rate bad-packet-drop rate-interval 3600 average-rate 2 burst-rate 2
threat-detection rate conn-limit-drop rate-interval 600 average-rate 3 burst-rate 3
threat-detection rate conn-limit-drop rate-interval 3600 average-rate 3 burst-rate 3
threat-detection rate scanning-threat rate-interval 600 average-rate 2 burst-rate 2
threat-detection rate scanning-threat rate-interval 3600 average-rate 2 burst-rate 2
threat-detection rate syn-attack rate-interval 600 average-rate 2 burst-rate 2
threat-detection rate syn-attack rate-interval 3600 average-rate 2 burst-rate 2
threat-detection rate inspect-drop rate-interval 600 average-rate 2 burst-rate 2
threat-detection rate inspect-drop rate-interval 3600 average-rate 2 burst-rate 2
threat-detection basic-threat
threat-detection scanning-threat shun duration 600
threat-detection statistics
threat-detection statistics host number-of-rate 2
threat-detection statistics tcp-intercept rate-interval 15 burst-rate 30 average-rate 30
class-map HTTP
match port tcp eq www
class-map TCPNORM
match any
class-map CONNS
match any
class-map inspection_default
match default-inspection-traffic
class-map HTTP_1
match port tcp eq www
policy-map type inspect http HTTP_1
parameters
  protocol-violation action drop-connection log
match request header content-length length gt 256
  drop-connection log
policy-map CONNS
class CONNS
  set connection conn-max 1024 embryonic-conn-max 128 per-client-max 254 per-client-embryonic-max 3
  set connection timeout embryonic 0:00:05 half-closed 0:05:00 tcp 0:30:00 reset dcd 0:00:05 3
class TCPNORM
  set connection advanced-options TCPNORM
class HTTP_1
  inspect http HTTP_1
service-policy CONNS interface outside

Сможете указаь, что еще можно настройть, или куда рыть?
С уважением!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "asa 5510 DDOS"	+/–
Сообщение от Aleks305 (ok) on 08-Июн-12, 23:18
> Доброе время суток! > Имеется asa 5510 и за ним висит веб-сервак. На asa 5510 настроен > Connection Limits and Timeouts следующим образом: > Max connection: 1024 > Max embrionic connection: 3072 > Per-client-max: 3 > Per-client-max-embrionic: 9 > Таймаут понижен до минимума... > Все равно проходит DDOS и нагрузка процессора возрастает резко. > Как отбросить лишные соединения на asa, чтобы они не доходили до сервака? от всех dos такая настройка не защитит. а в чем смысл Per-client-max-embrionic: 9? почему значение больше чем er-client-max: 3 Сервак можно загасить http-запросами или с использованием уязвимостей ПО web-сервера
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "asa 5510 DDOS"	+/–
	Сообщение от Merridius (ok) on 09-Июн-12, 10:33
	>[оверквотинг удален] >> Max connection: 1024 >> Max embrionic connection: 3072 >> Per-client-max: 3 >> Per-client-max-embrionic: 9 >> Таймаут понижен до минимума... >> Все равно проходит DDOS и нагрузка процессора возрастает резко. >> Как отбросить лишные соединения на asa, чтобы они не доходили до сервака? > от всех dos такая настройка не защитит. а в чем смысл Per-client-max-embrionic: > 9? почему значение больше чем er-client-max: 3 > Сервак можно загасить http-запросами или с использованием уязвимостей ПО web-сервера Все правильно, сначала нужно определить что за ddos. Если допустим HTTP Get request, то ограничения tcp соединений вам не сильно помогут, тут нужен комплексный подход, включая использование IPS.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "asa 5510 DDOS"	+/–
	Сообщение от Mirage_sk (ok) on 09-Июн-12, 11:19
	>[оверквотинг удален] >>> Per-client-max-embrionic: 9 >>> Таймаут понижен до минимума... >>> Все равно проходит DDOS и нагрузка процессора возрастает резко. >>> Как отбросить лишные соединения на asa, чтобы они не доходили до сервака? >> от всех dos такая настройка не защитит. а в чем смысл Per-client-max-embrionic: >> 9? почему значение больше чем er-client-max: 3 >> Сервак можно загасить http-запросами или с использованием уязвимостей ПО web-сервера > Все правильно, сначала нужно определить что за ddos. Если допустим HTTP Get > request, то ограничения tcp соединений вам не сильно помогут, тут нужен > комплексный подход, включая использование IPS. Вот что показывакт ASA: 6 Jun 07 2012 16:02:10 302014 31.192.16.162 52765 10.205.10.2 80 Teardown TCP connection 183808 for outside:31.192.16.162/52765 to inside: 10.205.10.2/80 duration 0:01:05 bytes 30142 TCP FINs Это IPTables Jun 7 16:02:19 web kernel: ip_conntrack: table full, dropping packet. Jun 7 16:02:27 web kernel: printk: 219 messages suppressed. В логах Nginx нашел множество HTTP Get request.... Но есть проблема - нет дополнительных модулей... Версия ASA 8.2(1) Лицензия - Security Plus
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "asa 5510 DDOS"	+/–
	Сообщение от Mirage_sk (ok) on 11-Июн-12, 12:25
	>[оверквотинг удален] > 6 Jun 07 2012 16:02:10 302014 31.192.16.162 52765 10.205.10.2 80 Teardown TCP > connection 183808 for outside:31.192.16.162/52765 to inside: 10.205.10.2/80 duration > 0:01:05 bytes 30142 TCP FINs > Это IPTables > Jun 7 16:02:19 web kernel: ip_conntrack: table full, dropping packet. > Jun 7 16:02:27 web kernel: printk: 219 messages suppressed. > В логах Nginx нашел множество HTTP Get request.... > Но есть проблема - нет дополнительных модулей... > Версия ASA 8.2(1) > Лицензия - Security Plus Самостоятельно (что нашел) настройл следующее: threat-detection rate dos-drop rate-interval 600 average-rate 2 burst-rate 2 threat-detection rate dos-drop rate-interval 3600 average-rate 2 burst-rate 2 threat-detection rate bad-packet-drop rate-interval 600 average-rate 2 burst-rate 2 threat-detection rate bad-packet-drop rate-interval 3600 average-rate 2 burst-rate 2 threat-detection rate conn-limit-drop rate-interval 600 average-rate 3 burst-rate 3 threat-detection rate conn-limit-drop rate-interval 3600 average-rate 3 burst-rate 3 threat-detection rate scanning-threat rate-interval 600 average-rate 2 burst-rate 2 threat-detection rate scanning-threat rate-interval 3600 average-rate 2 burst-rate 2 threat-detection rate syn-attack rate-interval 600 average-rate 2 burst-rate 2 threat-detection rate syn-attack rate-interval 3600 average-rate 2 burst-rate 2 threat-detection rate inspect-drop rate-interval 600 average-rate 2 burst-rate 2 threat-detection rate inspect-drop rate-interval 3600 average-rate 2 burst-rate 2 threat-detection basic-threat threat-detection scanning-threat shun duration 600 threat-detection statistics threat-detection statistics host number-of-rate 2 threat-detection statistics tcp-intercept rate-interval 15 burst-rate 30 average-rate 30 class-map HTTP match port tcp eq www class-map TCPNORM match any class-map CONNS match any class-map inspection_default match default-inspection-traffic class-map HTTP_1 match port tcp eq www policy-map type inspect http HTTP_1 parameters protocol-violation action drop-connection log match request header content-length length gt 256 drop-connection log policy-map CONNS class CONNS set connection conn-max 1024 embryonic-conn-max 128 per-client-max 254 per-client-embryonic-max 3 set connection timeout embryonic 0:00:05 half-closed 0:05:00 tcp 0:30:00 reset dcd 0:00:05 3 class TCPNORM set connection advanced-options TCPNORM class HTTP_1 inspect http HTTP_1 service-policy CONNS interface outside Сможете указаь, что еще можно настройть, или куда рыть? С уважением!
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору