Cómo mitigar un aumento anormal en el contador global "flow_dos_ag_max_sess_limit"

Cómo mitigar un aumento anormal en el contador global "flow_dos_ag_max_sess_limit"

4329
Created On 11/29/23 00:29 AM - Last Modified 12/19/23 05:19 AM


Objective


El flow_dos_ag_max_sess_limit de contador se incrementa cuando se alcanza o supera el límite máximo de sesiones simultáneas configurado para un perfil de protección DoS agregado .

A continuación se muestra un ejemplo del incremento de la flow_dos_ag_max_sess_limit de contador global en el firewall: 
> show counter global

name value rate severity category aspect description
--------------------------------------------------------------------------------
flow_dos_ag_max_sess_limit 1 0 drop flow dos Session limit reached for aggregate profile, drop session
Nota: Este tráfico excesivo puede deberse a un atacante externo que intenta realizar un ataque de denegación de servicio, o simplemente puede ser una alta tasa de tráfico conocido en la red que pasa a través del firewall. El origen y la naturaleza del tráfico deben reducirse para determinar qué flujos de tráfico anormales causaron que esto ocurriera.

Environment


  • Firewall de próxima generación

Procedure


  1. Identifique las direcciones IP de origen y las direcciones IP de destino/puertos implicados y qué perfil/regla de protección de DoS alcanzó su límite máximo de sesiones simultáneas navegando a Supervisar registros de amenazas > > buscar registros con el nombre de "Evento de límite de sesión"
  2. Si el tráfico es tráfico conocido o legítimo, realice una o varias de las siguientes acciones:
    1. Vaya al dispositivo que genera este tráfico y apague/impida que el dispositivo envíe este tráfico a su origen
    2. Ralentizar o distribuir la velocidad a la que ese dispositivo/aplicación envía tráfico
    3. Bloquear/denegar este tráfico en un dispositivo en la ruta de este tráfico antes de que llegue al firewall
    4. Verifique que no haya ningún problema/bucle de enrutamiento que provoque que muchos paquetes ingresen al firewall repetidamente
Nota: Puede ajustar el número máximo de sesiones simultáneas a un valor más alto si el valor existente es demasiado bajo y está descartando el tráfico legítimo conocido. Consulte Perfiles de protección DoS para conocer los valores sugeridos .
  1. Si el tráfico es desconocido o atacante, realice una o varias de las siguientes acciones:
    1. Compruebe que este tráfico llegaría a una regla de denegación de directiva de seguridad y cree una si es necesario
    2. Bloquear/denegar este tráfico en un dispositivo antes de que llegue al firewall en la ruta de este tráfico
    3. Asegúrese de que los perfiles de protección de zona estén configurados para proteger contra inundaciones de paquetes
    4. Considere la posibilidad de utilizar un dispositivo o servicio DDoS especializado

Additional Information


Siga los pasos descritos en Siga las prácticas recomendadas de DoS y protección de zona posteriores a la implementación con frecuencia para asegurarse de que la configuración del firewall para la protección de zona y la protección DoS sea adecuada y eficaz para los patrones de tráfico de red.

Información adicional:
Defensa frente a ataques DoS y DDoS volumétricos
Cómo configurar la protección
DoS Descripción de los registros y contadores
de DoS Prácticas recomendadas de protección de zonas y DoS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhFNCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language