Caídas clasificadas de protección DoS TCP / / Paquetes de UDP IP inundación antes de alcanzar el umbral
Symptom
En algunos casos, puede parecer TCP / / paquetes de UDP IP inundación se caen antes de alcanzar el umbral configurado.
Environment
La protección DoS clasificada se ha habilitado y establecido en Firewalls de caída temprana aleatoria
con varios planes de datos ( DP )
Cause
Suponiendo que no haya planes de datos ( DP ) en un momento en que el administrador establece una tasa de activación de firewall inundación, PAN-OS asignará 1/n de esta tarifa a cada plano de datos.
Si el chasis es una PA-7000 serie, la regla 1/n depende de la distribución de la sesión policy como se ilustra:
- fijo (fijado a un único plano de datos): n=1
- ingress-slot: N =d (número de DPs por ranura)
- random: N =s*d ("s" es el número de ranuras en línea/disponibles, "d" es el número de DPs por ranura)
Todos los demás firewalls con varios planes de datos distribuirán uniformemente la carga entre todos los planes de datos disponibles.
Este esquema funciona bien cuando la inundación se distribuye uniformemente a todos los planes de datos. De lo contrario, Random Early Drop ( RED ) puede iniciarse en un plano de datos mientras que la tasa de inundación está muy por debajo del umbral de 1/n en otros DPs, desencadenando RED prematuramente.
¿Cómo podemos comprobar la distribución por plano de datos?
admin@PA > show dos-protection rule <rulename> settings
Compruebe si hay valores en la fila llamada " DP "
Ejemplo:
Velocidades configuradas:
tasa de alarma: 10000 cps, tasa de activación: 25000 cps, velocidad máxima: 60000 cps
Fijo:
admin@PA > set session distribution-policy fixed s1dp0 admin@PA > show dos-protection rule DoS_1 settings DP s1dp0: DP alarm rate: 10000 cps, activate rate: 25000 cps, maximal rate: 60000 cps
Ranura de entrada:
admin@PA > set session distribution-policy ingress-slot admin@PA > show dos-protection rule DoS_1 settings DP alarm rate: 5001 cps, activate rate: 12501 cps, maximal rate: 30001 cps <<< gets dived to two.
Aleatorio:
admin@PA > set session distribution-policy random admin@PA > show dos-protection rule DoS_1 settings DP alarm rate: 2501 cps, activate rate: 6251 cps, maximal rate: 15001 cps << I have 2 slots, hence 4 DP's
NOTE:
Hay otros factores que pueden afectar esta prueba. Por ejemplo, las herramientas de prueba de iperf/ (al probar los perfiles DoS en el laboratorio) pueden introducir fluctuación y ráfaga en el tráfico generado.
La red interna y los sistemas distribuidos dentro de la firewall pueden también añadir fluctuación al flujo de tráfico.
La fluctuación/explosión puede desencadenarse RED cuando la velocidad de inundación está cerca del umbral. DoS Protection mira la velocidad de inundación no el contador de paquetes en un segundo.
Resolution
Considere los cálculos anteriores para prevenir los paquetes caídos antes de alcanzar los umbrales configurados.