Comment atténuer une augmentation anormale du compteur global « flow_dos_ag_max_sess_limit »
4337
Created On 11/29/23 00:29 AM - Last Modified 12/19/23 05:19 AM
Objective
Le compteur s’incrémente flow_dos_ag_max_sess_limit lorsque la limite maximale de sessions simultanées configurée pour un profil de protection DoS agrégé a été atteinte ou dépassée.
Vous trouverez ci-dessous un exemple d’incrémentation du compteur global flow_dos_ag_max_sess_limit dans le pare-feu :
> show counter global name value rate severity category aspect description -------------------------------------------------------------------------------- flow_dos_ag_max_sess_limit 1 0 drop flow dos Session limit reached for aggregate profile, drop sessionRemarque : Ce trafic excessif peut être dû à un attaquant extérieur qui tente d’effectuer une attaque par déni de service, ou simplement à un taux élevé de trafic connu sur le réseau passant à travers le pare-feu. La source et la nature du trafic doivent être affinées pour déterminer quels flux de trafic anormaux en sont la cause.
Environment
- Pare-feu nouvelle génération
Procedure
- Identifiez l'adresse IP source et les adresses IP/ports de destination concernés et le profil/règle de protection contre les attaques par déni de service qui a atteint sa limite maximale de sessions simultanées en accédant à Surveiller les journaux des menaces > > recherchez les journaux portant le nom « Événement de limite de session ».
- S’il s’agit d’un trafic connu/légitime, effectuez une ou plusieurs des actions suivantes :
- Accédez à l’appareil qui génère ce trafic et éteignez/arrêtez l’appareil d’envoyer ce trafic à sa source.
- Ralentissez ou étalez la vitesse à laquelle cet appareil/cette application envoie du trafic
- Bloquer/refuser ce trafic sur un périphérique sur le chemin de ce trafic avant qu’il n’atteigne le pare-feu
- Vérifiez qu’il n’y a pas de problème de routage/de boucle entraînant l’entrée répétée de nombreux paquets dans le pare-feu
Remarque : Vous pouvez ajuster le nombre maximal de sessions simultanées à une valeur plus élevée si la valeur existante est trop faible et qu’elle abandonne le trafic connu et légitime. Reportez-vous à la section Profils de protection contre les attaques par déni de service pour connaître les valeurs suggérées.
- S’il s’agit d’un trafic inconnu ou d’un attaquant, effectuez une ou plusieurs des actions suivantes :
- Vérifiez que ce trafic se heurte à une règle de refus de stratégie de sécurité et créez-en une si nécessaire
- Bloquer/refuser ce trafic sur un périphérique avant qu’il n’atteigne le pare-feu dans le chemin de ce trafic
- Assurez-vous que les profils de protection de zone sont configurés pour vous protéger contre les inondations de paquets.
- Envisagez d’utiliser une appliance ou un service DDoS spécialisé
Additional Information
Effectuez fréquemment les étapes décrites dans Suivre les meilleures pratiques de protection par déni de service et de zone après le déploiement pour vous assurer que la configuration du pare-feu pour la protection de zone et la protection par déni de service est appropriée et efficace pour vos modèles de trafic réseau.
Informations supplémentaires :
Se défendre contre les attaques DoS et DDoS volumétriques
Comment configurer la protection
DoS Comprendre les journaux et les compteurs DoS Bonnes pratiques en
matière de protection par déni de service et de zone