Troubleshooting DoS greift

Troubleshooting DoS greift

60344
Created On 09/25/18 19:21 PM - Last Modified 04/05/23 20:07 PM


Resolution


EIN Denial-of-Service (DoS)-Angriff ist ein Angriff, der dazu gedacht ist, eine Maschine oder eine Netzwerkressource herunterzufahren, was Sie für ihre beabsichtigten Benutzer unzugänglich macht. Lesen Sie mehr über DoS in einem Denial of Service-Angriff?

 

Dieser Artikel gibt einen Einblick, wie man aufgrund von Firewall-DoS-Attacken ein paar Situationen stören kann. Dieser Artikel geht davon aus, dass Sie sich über DoS/Zone-Schutz Profile und die Überprüfung der Ressourcennutzung

 

DoS-Schutz zu verstehen

Wie man eine hohe Dataplane-CPU stört

 

1. SitzungsTabelle Full

 

Dies kann in Fällen gesehen werden, in denen der DoS-Verkehr durch die Firewall-Richtlinien erlaubt ist. Wenn der Angreifer offene IPs und Ports mit IP-Sweep oder Port-Scan-Techniken finden kann , kann er einen Hochwasser Angriff starten. Im Fall von TCP führt eine Antwort des Opfers zu einer Session, die für 3600 Sekunden auf der Firewall installiert wird. Darüber hinaus werden mehr solcher SYN-Pakete zu einer vollständigen Sitzungstabelle führen, wodurch der legitime Verkehr beeinträchtigt wird.

 

Bitte beachten Sie, dass in diesen Fällen die Rate des Hochwasser Angriffs hoch sein kann oder auch nicht.

 

Die asymmetrische Umgehung oder das Deaktivieren von TCP-ablehnen-Non-SYN kann die Situation verschlimmern, da es zu jedem TCP-Paket führen wird, um eine Session auf der Firewall zu installieren, wenn die Richtlinien und das Routing dies erlauben.

 

Troubleshooting Session Tisch voll

 

  • In solchen Fällen wäre der beste Weg, eine Müllkippe des Sitzungs Tisches zu nehmen und durch Sie zu mager. In den meisten Fällen wird eine bestimmte Quell-IP oder eine zielgerichtete IP heraus stehen. Verwenden Sie den Befehl "Session all" für die gleiche
  • Prüfen Sie, ob die identifizierte Ziel-IP und-Port, oder die Quelle des Verkehrs gültig ist und sollte über die Firewall erlaubt werden. Wenn ja, können wir die Firewall-Regeln einschränken.
  • Meist ist in diesen Fällen die Abschwächung der beste Weg. Um diese Fälle abzumildern, sollten Sie DoS-Schutz-/Zonen Schutz profile implementieren. SYN-Cookie-Modus im SYN-HochWasserSchutz kann sehr nützlich sein, um mit diesen Situationen umzugehen, da er die Firewall daran hindern wird, eine Sitzung zu installieren und dem Angreifer ein SYN/ACK-Paket zu senden. Es sei denn, der Angreifer antwortet mit einem gültigen ACK, die Sitzung wird nicht eingerichtet.
  • Die Schwelle des SYN-HochWasserSchutz Mechanismus sollte nach der Analyse der normalen Verbindungs Rate zur Ziel-IP auf bestimmte Anforderungen abgestimmt werden.

 

2. Paket Puffer/Paket Deskriptoren voll

 

Das zeigt sich in DoS-Attacken mit hoher Paket-/Datenrate. Kann aufgrund der hohen Rate an neuen Verbindungen pro Sekunde oder hoher Paket Rate auf bestehenden Sitzungen sein. Selbst wenn die connnections verweigert werden, würde es nicht verhindern, dass der Puffer voll ist, da die Pakete gepuffert werden müssen und bevor Sie zur Verarbeitung an das dataplane gesendet werden.

 

Wie man sich stört:

 

  • Prüfen Sie die ACC-Tabs und versuchen Sie, benutzerdefinierte Filter zu verwenden, um zu sehen, ob es einen bestimmten Verkehr gibt, der außergewöhnlich höher ist als der andere ACC-Tab bietet jedoch kein gutes Intel gegen den laufenden Angriff. Der Grund dafür ist, dass es sein Futter aus der Verkehrs Zusammenfassung, Traffic-Log-Datenbanken und AppStats-Datenbank nimmt.

    • Sollte der Angriff über eine laufende Sitzung statt gehen, hätte er noch kein Verkehrsprotokoll generiert.

    • Wenn der Angriff aus neuen Verbindungen besteht, kann der Tab ACC nicht in der Lage sein, Sessions zu zeigen, die sowieso fehlgeschlagen sind.

Einige Hinweise auf die Verwendung von ACC:

  • ÜberPrüfen Sie alle Live-Sessions mit mehr Daten als üblich. Verwenden Sie die min-KB-Option im Sitzungs Filter wie unter:

    admin @ PA-200 > Show Session alle Filter min-KB 5000

     

    --------------------------------------------------------------------------------

    ID-Anwendung Staatstyp Flagsrc [Sport]/Zone/Proto (übersetzte IP [Port])                 

    Vsys                                          DST [dport]/Zone (ÜBERsetzte IP [Port])

    --------------------------------------------------------------------------------

    10216PCoIPActiveFlowNS 10.1.1.11 [50002]/Trust/17(10.129.15.24 [61158])                         

    vsys110.101.41.211 [4172]/Untrust(10.101.41.211 [4172])                                           


    Das obige ist nur ein Beispiel, können Sie den Wert von min-KB wie überall zwischen 1-1048576, also fast bis zu 1G verwenden. Dies kann einen Einblick in Sitzungen mit Spitzengeschwindigkeit des Verkehrs geben. Suchen Sie nach allem verdächtigen.

  • Sie können das folgende verwenden, um Sitzungen zu finden, die den Puffer über nutzen: 

    Identifizieren Sie Sitzungen, die einen ÜberMäßigen ProzentSatz des Paket Puffers verwenden

  • ÜberPrüfen Sie die Live-Traffic-Rate auf Schnittstellen und erfahren Sie, welche Schnittstelle übermäßigen Verkehr erhält. Verwenden Sie das Show System State Browser für das gleiche, wie im folgenden Artikel hervorgehoben: wie Sie den Durchsatz von SchnittStellen überprüfen.  

    • ÜberPrüfen Sie alle relevanten Ports nach ihrer Konfiguration.

    • Sie sollten sich auf die RX-Bytes/s oder RX-Unicast/s oder RX-Multicast/s konzentrieren. Dies ist der Kurs, der in der zweiten Spalte angezeigt wird, wenn Sie die Verfolgung mit ' Y ' und ' U ' aktivieren.

  • Nachdem Sie den Port identifiziert haben, auf dem der Angriffs Verkehr empfangen wird, müssen Sie eine kurze Packung des Verkehrs nehmen, der auf diesem Port empfangen wird.

    • Es wird empfohlen, dies auf einem angeschlossenen Schalter per Port zu tun, der den Verkehr widerspiegelt, da Paketaufnahmen ressourcenintensiver sein könnten.

    • Wenn jedoch keine andere Option verfügbar ist, aktivieren Sie die Aufnahmen auf der Palo Alto Networks Firewall mit Filter als Ingress-Interface, wie oben identifiziert, und führen Sie die Aufnahmen für 10-15 Sekunden aus.

  • Stoppt die Aufnahmen und öffnet sich mit Wireshark. Unter Wireshark schauen Sie unter Statistik-> Protokoll Hierarchie oder Gespräche. ÜberPrüfen Sie das Gespräch auf IP-Ebene, UDP-Ebene, TCP-Schicht und überprüfen Sie für jeden Verkehr, der eine hohe Paket Zahl hat.

    • Dies kann helfen, den Angreifer zu identifizieren und zu isolieren (vertrauenswürdig oder nicht vertrauenswürdig). Meistens für vertrauenswürdige Quelle, können Sie den betroffenen Host verfolgen und Maßnahmen ergreifen.

    • Für eine nicht vertrauenswürdige Quelle, können Sie um Hilfe von Ihrem ISP bitten, um zu helfen, die Quelle des Angriffs zu verhindern.

    Screenshot 2016-07-28 um 10.38.20 Uhr. png

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClWLCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language