Klassifizierte DoS-Schutz-Tropfen TCP / UDP / IP Flood-Pakete vor Erreichen der Schwelle
Symptom
In einigen Fällen können es auftreten TCP / UDP / IP Flutpakete fallen, bevor sie den konfigurierten Schwellenwert erreichen.
Environment
Der klassifizierte DoS-Schutz wurde aktiviert und auf Random Early Drop
Firewalls mit mehreren Datenebenen festgelegt ( DP )
Cause
Unter der Annahme, dass keine Datenebenen ( ) in einem vorhanden DP firewall sind, wenn der Administrator eine Flutaktivierungsrate festlegt, PAN-OS wird jeder Datenebene 1/n dieser Rate zugewiesen.
Wenn es sich bei dem Gehäuse um eine PA-7000 Serie handelt, hängt die Regel 1/n von der policy sitzungsverteilung ab, wie dargestellt:
- fest (fest auf einer einzelnen Datenebene): n=1
- Ingress-Slot: N =d (Anzahl der DPs pro Steckplatz)
- zufällig: N =s*d ("s" ist die Anzahl Slots online/verfügbar, "d" ist die Anzahl der DPs pro Steckplatz )
Alle anderen Firewalls mit mehreren Datenebenen verteilen die Last gleichmäßig auf alle verfügbaren Datenebenen.
Dieses Schema funktioniert gut, wenn die Flut gleichmäßig auf alle Datenebenen verteilt wird. Andernfalls kann Random Early Drop ( RED ) auf einer Datenebene einspringen, während die Überflutungsrate bei anderen DPs deutlich unter der 1/n-Schwelle liegt, was vorzeitig auslöst. RED
Wie können wir die Verteilung pro Datenebene überprüfen?
admin@PA > show dos-protection rule <rulename> settings
Überprüfen Sie, ob Werte mit dem Namen DP " "
Beispiel:
Konfigurierte Tarife:
Alarmrate: 10000 cps, Aktivierungsrate: 25000 cps, Höchstrate: 60000 cps
Fest:
admin@PA > set session distribution-policy fixed s1dp0 admin@PA > show dos-protection rule DoS_1 settings DP s1dp0: DP alarm rate: 10000 cps, activate rate: 25000 cps, maximal rate: 60000 cps
Ingress-Slot:
admin@PA > set session distribution-policy ingress-slot admin@PA > show dos-protection rule DoS_1 settings DP alarm rate: 5001 cps, activate rate: 12501 cps, maximal rate: 30001 cps <<< gets dived to two.
zufällig:
admin@PA > set session distribution-policy random admin@PA > show dos-protection rule DoS_1 settings DP alarm rate: 2501 cps, activate rate: 6251 cps, maximal rate: 15001 cps << I have 2 slots, hence 4 DP's
NOTE:
Es gibt andere Faktoren, die diesen Test beeinflussen können. Beispielsweise können iperf/ Testtools (beim Testen der DoS-Profile im Labor) Jitter und Burstiness in den generierten Datenverkehr bringen.
Das interne Netzwerk und die verteilten Systeme innerhalb des firewall können auch jitter zum Datenverkehrsfluss hinzufügen.
Jitter/Burstiness kann ausgelöst RED werden, wenn die Überflutungsrate nahe an der Schwelle liegt. DoS Protection betrachtet die Überflutungsrate und nicht den Paketzähler in einer Sekunde.
Resolution
Berücksichtigen Sie die oben genannten Berechnungen, um verworfene Pakete zu verhindern, bevor die konfigurierten Schwellenwerte erreicht werden.