Baisses classifiées de protection dos TCP / UDP / IP paquets d’inondation avant d’atteindre le seuil
Symptom
Dans certains cas, il peut apparaître TCP / / UDP IP paquets d’inondation sont abandonnés avant d’atteindre le seuil configuré.
Environment
Classified DoS Protection a été activé et réglé sur les pare-feux random
early drop avec plusieurs dataplanes ( DP )
Cause
En supposant qu’il n’y a pas d’avions de données ( DP ) dans un lorsque firewall l’administrateur définit un taux d’activation PAN-OS d’inondation, attribuera 1 /n de ce taux à chaque dataplane.
Si le châssis est une PA-7000 série, la règle 1/n dépend de la distribution de la session telle policy qu’illustrée :
- fixe (fixe à un seul plan de données) : n=1
- ingress-slot: N =d (nombre de DP par fente)
- aléatoire: N =s*d (« s » est le nombre de machines à sous en ligne / disponibles, « d » est le nombre de DPs par fente )
Tous les autres pare-feu avec plusieurs dataplanes répartiront uniformément la charge sur tous les dataplanes disponibles.
Ce système fonctionne bien lorsque l’inondation est répartie uniformément à tous les dataplanes. Dans le cas contraire, Random Early Drop ( RED ) peut démarrer sur un dataplane tandis que le taux d’inondation est bien en dessous du seuil de 1 /n sur d’autres DPs, déclenchant RED prématurément.
Comment pouvons-nous vérifier la distribution par avion de données?
admin@PA > show dos-protection rule <rulename> settings
Vérifiez les valeurs par rapport à la ligne appelée DP " »
Exemple:
Tarifs configurés :
taux d’alarme: 10000 cps, taux d’activation: 25000 cps, taux maximal: 60000 cps
fixe:
admin@PA > set session distribution-policy fixed s1dp0 admin@PA > show dos-protection rule DoS_1 settings DP s1dp0: DP alarm rate: 10000 cps, activate rate: 25000 cps, maximal rate: 60000 cps
Ingress-fente:
admin@PA > set session distribution-policy ingress-slot admin@PA > show dos-protection rule DoS_1 settings DP alarm rate: 5001 cps, activate rate: 12501 cps, maximal rate: 30001 cps <<< gets dived to two.
aléatoire:
admin@PA > set session distribution-policy random admin@PA > show dos-protection rule DoS_1 settings DP alarm rate: 2501 cps, activate rate: 6251 cps, maximal rate: 15001 cps << I have 2 slots, hence 4 DP's
NOTE:
D’autres facteurs peuvent influer sur ce test. Par exemple, les outils iperf/testing (lors de l’essai des profils DoS en laboratoire) peuvent introduire de la nervosité et de l’éclatement dans le trafic généré.
Le réseau interne et les systèmes distribués à firewall l’intérieur de la peut également ajouter de la nervosité à la circulation.
La nervosité ou l’éclatement peuvent se RED déclencher lorsque le taux d’inondation est proche du seuil. DoS Protection examine le taux d’inondation et non le compteur de paquets en une seconde.
Resolution
Considérez les calculs ci-dessus pour éviter les paquets abandonnés avant d’atteindre les seuils configurés.