DoS 攻撃のトラブルシューティング
Resolution
サービス拒否 (DoS) 攻撃とは、マシンまたはネットワークリソースをシャットダウンする攻撃のことで、意図したユーザーがアクセスできないようにするものです。dos についての詳細は、サービス拒否攻撃とは何ですか?
この記事では、ファイアウォールの DoS 攻撃によるいくつかの状況のトラブルシューティング方法について説明します。この記事では、DoS/Zone 保護プロファイルを認識し、リソースの使用状況を確認することを前提としています。
1。セッションテーブルがいっぱいです
これは、DoS トラフィックがファイアウォールポリシーによって許可されている場合に見られます。攻撃者が IP スイープまたはポートスキャン技術を使用してオープン ip およびポートを検出できる場合は 、洪水攻撃を仕掛けることができます。TCP の場合、被害者からの応答は3600秒間ファイアウォールにインストールされたセッションにつながります。さらに、より多くのそのような SYN パケットは、それによって合法のトラフィックが影響を受けることを引き起こし、セッションテーブルのフルにつながる。
このような場合には、洪水攻撃の割合が高くなっていない場合がありますのでご注意ください。
非対称バイパスを許可するか、または tcp 拒否非 syn を無効にすると、ポリシーとルーティングが許可されている場合、ファイアウォールにセッションをインストールする任意の tcp パケットにつながるので、状況を悪化させることができます。
セッションテーブルの完全なトラブルシューティング
- このような場合、最良の方法は、セッションテーブルのダンプを取り、それをざっと読みます。ほとんどの場合、特定のソース ip またはターゲット ip が目立つようになります。コマンドを使用して"すべてのセッションを表示する"と同じ
- 特定されたターゲット IP とポート、またはトラフィックのソースが有効であるかどうかを確認し、ファイアウォールを介して許可する必要があります。[はい] の場合は、ファイアウォールの規則を制限できます。
- ほとんどの場合、これらの場合、緩和策は最良の方法です。これらのケースを軽減するには、DoS 保護/ゾーン保護プロファイルを実装する必要があります。syn 洪水保護の syn クッキーモードは、セッションをインストールするからファイアウォールを防ぐことが、攻撃者に syn/ACK パケットを送信するように、これらの状況に対処するのに非常に便利です。攻撃者が有効な ACK で応答しない限り、セッションは確立されません。
- SYN フラッド保護メカニズムのしきい値は、ターゲット IP への通常の接続率を分析した後、特定の要件に合わせて調整する必要があります。
2。パケットバッファ/パケット記述子フル
これは、高いパケット/データレートで DoS 攻撃で見ることができます。1秒あたりの新しい接続率が高いか、既存のセッションのパケットレートが高いためです。接続が拒否されている場合でも、パケットがバッファリングされ、処理のために dataplane に送信する前に、バッファが満杯になるのを防ぐことはできません。
トラブルシューティングの方法:
- ACC のタブをチェックし、カスタムフィルターを使用して、他のトラフィックよりも非常に高い特定のトラフィックがあるかどうかを確認します。しかし、ACC のタブは、継続的な攻撃に対して良いインテルを提供していません。理由は、トラフィックの概要、トラフィックログデータベースと appstats データベースからのフィードを取ること。
進行中のセッションで攻撃が行われている場合、トラフィックログはまだ生成されていません。
攻撃が新しい接続で構成されている場合、ACC tab では、とにかく失敗したセッションを表示できないことがあります。
ヒントとコツ: アプリケーションコマンドセンター (acc) の使い方のヒントとコツ: よくある質問acc PAN-OS 7.0
ビデオチュートリアル: アプリケーションコマンドセンター (acc) の使い方のヒントとコツ: よくある質問acc PAN-OS 7.0
通常よりも多くのデータを持つライブセッションをチェックします。以下のように、セッションフィルタで min-kb オプションを使用します。
管理者 @ PA-200 > ショーセッションすべてのフィルタの最小値 kb 5000
--------------------------------------------------------------------------------
IDアプリケーションの状態の種類フラグSrc [スポーツ]/Zone/Proto (変換された IP アドレス [ポート])
Vsys Dst [Dport]/Zone (変換された IP アドレス [ポート])
--------------------------------------------------------------------------------
10216pcoipアクティブフローNS 10.1.1.11 [50002]/Trust/17(10.129.15.24 [61158])
vsys110.101.41.211 [4172]/Untrust(10.101.41.211 [4172])
上記はちょうど一例です、あなたは1-1048576 の間にどこでも、すなわち、ほぼ最大1g の間に min-kb の値を使用することができます。これは、トラフィックのトップレートを持つセッションに洞察力を提供することができます。不審なものを探して
以下を使用して、バッファを乱用しているセッションを見つけることができます。
インターフェイスのライブトラフィック率を確認し、どのインターフェイスが過剰なトラフィックを受信しているかを調べます。次の記事で強調表示されているのと同じように、システム状態ブラウザを表示する:インターフェイスのスループットを確認する方法。
構成に従って、関連するすべてのポートを確認します。
rx-バイト/s または rx-ユニキャスト/s または rx-マルチキャスト/s に焦点を当てている必要があります。これは、' Y ' と ' U ' を使用してトラッキングを有効にすると、2番目の列に表示されるレートです。
攻撃トラフィックが受信されるポートを特定したら、そのポートで受信されているトラフィックの短いパケットダンプを取得する必要があります。
これは、パケットキャプチャがリソースを集中的に消費する可能性があるため、トラフィックをポートミラーリングして接続されたスイッチで行うことをお勧めします。
しかし、他のオプションが利用可能でない場合は、上で識別されたようにフィルタを使用して、パロアルトネットワークファイアウォールでのキャプチャを有効にし、10-15 秒間のキャプチャを実行します。
キャプチャを停止し、wireshark で開きます。[統計情報]-> [プロトコル階層] または [会話] の下にWireshark を探します。IP レイヤ、UDP レイヤ、TCP レイヤのスレッドをチェックし、パケット数が多いトラフィックをチェックします。
これにより、攻撃者を特定して分離することができます (信頼済みまたは信頼されない)。主に信頼できるソースの場合は、影響を受けるホストを追跡し、アクションを実行できます。
信頼されていないソースについては、ISP からのヘルプを要求して、攻撃元を防ぐことができます。