Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 18:38



Ответить на тему  [ 1 сообщение ] 
ASA connection limits 
Автор Сообщение

Зарегистрирован: 12 мар 2015, 08:23
Сообщения: 7
Добрый день. Пытаюсь разобраться с лимитами на ASA5585x-ssp60. версия 9.6(3)


Правильно ли я понимаю что защита от tcp syn flood это ограничение полуоткрытых соединений.

embryonic-conn-max – это общее ограничение на полуоткрытые сессии. Не на конкретный хост, а на все которые у нас есть.. т.е. если у нас 500 сайтов работающих по 80 порту, то 10000 делиться на все 500 сайтов. Так?

per-client-embryonic-max – это количество полуоткрытых сессий с хоста инициатора на все хосты? Написано, что трафик не будет блокироваться полностью.. а аса включит механизм syn cookie и начнет рассылать ACK вместо хоста и если получит SYN ACK то соединение установиться. Т.е. мы получаем исходящий от нас трафик на спуфед адреса, часть из них отвечает даже и нам в обратку прилетают RST.

Мы пытались эмитировать атаку syn flood на один наш хост с кучи фейковых адресов по 80 порту.

В полиси видим такую картину.. т.е. по идее запросов было гораздо больше чем 10000, но счетчики показывают такие значения.
Дропов нет. ЦПУ при этом подгружается до 50%.

При этом кол-во pps около 300000.

Interface OUTSIDE:
Service-policy: CONNECTION
Class-map: CONNECTION
Set connection policy: embryonic-conn-max 10000 per-client-embryonic-max 1000
current embryonic conns 4498, current conns 5541, drop 0
Set connection timeout policy:
embryonic 0:00:11
DCD: disabled, retry-interval 0:00:15, max-retries 5
DCD: client-probe 0, server-probe 0, conn-expiration 0

Имеет ли смысл вообще писать общие лимиты, или надо защищать конкретные хосты наши.. а если их тысяча, надо для каждого определять писать свой полиси?

Если полиси убрать, то аса умирает где-то на 3.5 млн при 500000 pps.

Вот у нас порядка 500 веб проектов, в основном 80 и 443 порты. Если прилетает syn flood на любой, то аса благополучно ложиться. Возможности установить IDS/IPS сейчас нет. Можно как-то на ASA применить механизм что бы она не ложилась от банального syn flood.


08 июн 2017, 14:25
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ 1 сообщение ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 43


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB