DOS Protection EX Series

3

Então eu li uma série de white papers da Juniper contendo algumas estratégias de prevenção do DOS. Eu não estou procurando impedir qualquer um em particular, mas apenas garantir que a rede seja a mais protegida possível.

Mas não estou inclinado a copiar + colar configurações que encontrei on-line sem conhecer completamente as implicações.

Eu tenho um EX4200 na internet com várias sub-redes públicas, todas em suas próprias VLANs com RVIs.

Este é um exemplo que encontrei ...

term tcp-dos-protect-1 {
    from {
        protocol tcp;
        tcp-flags "syn&!ack";
    }
    then policer tcp-dos-policer;        
}
term tcp-dos-protect-2 {
    from {
        protocol tcp;
        tcp-flags "fin|rst";
    }
    then policer tcp-dos-policer;        
}     

...

policer tcp-dos-policer {
    filter-specific;
    if-exceeding {
        bandwidth-limit 500k;
        burst-size-limit 15k;
    }
    then discard;
}

Agora, essa regra específica afetaria o tráfego genuíno? Sob condições de rede pesadas - seria apenas começar a perder tráfego genuíno ou bloquear apenas o tráfego "ruim"?

    
por choco-loo 01.07.2013 / 22:40

1 resposta

0

Sem saber quantos dados seu ambiente veicula, esse filtro não deve apresentar problemas. Está a definir um limite rígido para as inicializações de TCP e para os sinalizadores de conclusão / reposição a 500Kb / s. Para atingir esse limite, você precisaria estar atendendo a vários milhões de novas solicitações TCP por segundo. Mesmo que alguns bons pacotes atingissem esse limite rígido, eles simplesmente cairiam e tentariam novamente em alguns segundos.

Isso também é (infelizmente) verdadeiro para pessoas que tentam fazer DoS seus servidores. Se um único host fosse capaz de iniciar vários milhares de conexões com um de seus servidores a cada segundo, você ainda teria problemas.

O que se deve notar sobre esses filtros é que é uma maneira muito bruta de limitar o tráfego; Em outras palavras, é limitado, mas eficiente . É bom garantir que nenhum tráfego desnecessário atravesse sua rede, mas as tecnologias de servidor web (por exemplo, mod_security , mod_evasive , etc.) sempre farão um trabalho mais inteligente de gerenciar sua carga de servidor e Descobrir o que deveria e não deveria estar lidando.

No exemplo acima, uma pessoa que tentasse repetir conexões nesses níveis seria bloqueada por um período de tempo predeterminado. O máximo que você perderá é uma quantidade marginal de largura de banda e processamento suficiente para fechar a conexão.

    
por 08.06.2015 / 04:39

Tags