gastello
Зарегистрирован: 12 мар 2015, 08:23 Сообщения: 7
|
Добрый день. Пытаюсь разобраться с лимитами на ASA5585x-ssp60. версия 9.6(3)
Правильно ли я понимаю что защита от tcp syn flood это ограничение полуоткрытых соединений.
embryonic-conn-max – это общее ограничение на полуоткрытые сессии. Не на конкретный хост, а на все которые у нас есть.. т.е. если у нас 500 сайтов работающих по 80 порту, то 10000 делиться на все 500 сайтов. Так?
per-client-embryonic-max – это количество полуоткрытых сессий с хоста инициатора на все хосты? Написано, что трафик не будет блокироваться полностью.. а аса включит механизм syn cookie и начнет рассылать ACK вместо хоста и если получит SYN ACK то соединение установиться. Т.е. мы получаем исходящий от нас трафик на спуфед адреса, часть из них отвечает даже и нам в обратку прилетают RST.
Мы пытались эмитировать атаку syn flood на один наш хост с кучи фейковых адресов по 80 порту.
В полиси видим такую картину.. т.е. по идее запросов было гораздо больше чем 10000, но счетчики показывают такие значения. Дропов нет. ЦПУ при этом подгружается до 50%.
При этом кол-во pps около 300000.
Interface OUTSIDE: Service-policy: CONNECTION Class-map: CONNECTION Set connection policy: embryonic-conn-max 10000 per-client-embryonic-max 1000 current embryonic conns 4498, current conns 5541, drop 0 Set connection timeout policy: embryonic 0:00:11 DCD: disabled, retry-interval 0:00:15, max-retries 5 DCD: client-probe 0, server-probe 0, conn-expiration 0
Имеет ли смысл вообще писать общие лимиты, или надо защищать конкретные хосты наши.. а если их тысяча, надо для каждого определять писать свой полиси?
Если полиси убрать, то аса умирает где-то на 3.5 млн при 500000 pps.
Вот у нас порядка 500 веб проектов, в основном 80 и 443 порты. Если прилетает syn flood на любой, то аса благополучно ложиться. Возможности установить IDS/IPS сейчас нет. Можно как-то на ASA применить механизм что бы она не ложилась от банального syn flood.
|