So mildern Sie einen abnormalen Anstieg des globalen "flow_dos_ag_max_sess_limit"-Zählers
4329
Created On 11/29/23 00:29 AM - Last Modified 12/19/23 05:19 AM
Objective
Der Leistungsindikator flow_dos_ag_max_sess_limit erhöht, wenn der konfigurierte Grenzwert für die maximale Anzahl gleichzeitiger Sitzungen für ein aggregiertes DoS-Schutzprofil erreicht oder überschritten wurde.
Im Folgenden finden Sie ein Beispiel für die Inkrementierung des globalen Zählers flow_dos_ag_max_sess_limit in der Firewall:
> show counter global name value rate severity category aspect description -------------------------------------------------------------------------------- flow_dos_ag_max_sess_limit 1 0 drop flow dos Session limit reached for aggregate profile, drop sessionHinweis: Bei diesem übermäßigen Datenverkehr kann es sich um einen externen Angreifer handeln, der versucht, einen Denial-of-Service-Angriff durchzuführen, oder es kann sich einfach um eine hohe Rate an bekanntem Datenverkehr im Netzwerk handeln, der durch die Firewall gelangt. Die Quelle und die Art des Datenverkehrs müssen eingegrenzt werden, um festzustellen, welche anormalen Verkehrsströme dies verursacht haben.
Environment
- Firewall der nächsten Generation
Procedure
- Identifizieren Sie die beteiligten Quell-IP- und Ziel-IP-Adressen/Ports und ermitteln Sie, welches DoS-Schutzprofil/welche DoS-Schutzregel den Grenzwert für maximale gleichzeitige Sitzungen erreicht hat, indem Sie zu ">Bedrohungsprotokolle überwachen" navigieren > nach Protokollen mit dem Namen "Session Limit Event" suchen
- Wenn es sich bei dem Datenverkehr um bekannten/legitimen Datenverkehr handelt, führen Sie eine oder mehrere der folgenden Aktionen aus:
- Gehen Sie zu dem Gerät, das diesen Datenverkehr generiert, und fahren Sie das Gerät herunter/stoppen Sie es, um diesen Datenverkehr an seiner Quelle zu senden
- Verlangsamen oder verteilen Sie die Geschwindigkeit, mit der dieses Gerät/diese Anwendung Datenverkehr sendet
- Blockieren/Verweigern dieses Datenverkehrs auf einem Gerät im Pfad dieses Datenverkehrs, bevor er die Firewall erreicht
- Stellen Sie sicher, dass es kein Routing-Problem/keine Schleife gibt, die dazu führt, dass viele Pakete wiederholt in die Firewall eindringen
Hinweis: Sie können die maximale Anzahl gleichzeitiger Sitzungen auf einen höheren Wert einstellen, wenn der vorhandene Wert zu niedrig ist und bekannten, legitimen Datenverkehr verworfen wird. Vorgeschlagene Werte finden Sie unter DoS-Schutzprofile .
- Wenn der Datenverkehr unbekannt ist oder ein Angreifer ist, führen Sie eine oder mehrere der folgenden Aktionen aus:
- Vergewissern Sie sich, dass dieser Datenverkehr auf eine Regel zum Verweigern von Sicherheitsrichtlinien trifft, und erstellen Sie bei Bedarf eine
- Blockieren/Verweigern Sie diesen Datenverkehr auf einem Gerät, bevor er die Firewall im Pfad dieses Datenverkehrs erreicht
- Stellen Sie sicher, dass Zonenschutzprofile so konfiguriert sind, dass sie vor Paketfluten schützen
- Erwägen Sie die Verwendung einer speziellen DDoS-Appliance oder eines spezialisierten DDoS-Dienstes
Additional Information
Führen Sie die Schritte unter Befolgen von DoS nach der Bereitstellung und Best Practices für den Zonenschutz häufig aus, um sicherzustellen, dass die Firewallkonfiguration für den Zonenschutz und den DoS-Schutz für Ihre Netzwerkdatenverkehrsmuster geeignet und effektiv ist.
Weitere Informationen:Abwehr von DoS- und
volumetrischen DDoS-Angriffen
So richten Sie den DoS-Schutz ein
Grundlegendes zu DoS-Protokollen und -Zählern
Best Practices für DoS und Zonenschutz