「flow_dos_ag_max_sess_limit」グローバルカウンターの異常な増加を緩和する方法
4329
Created On 11/29/23 00:29 AM - Last Modified 12/19/23 05:19 AM
Objective
カウンタflow_dos_ag_max_sess_limit、集約 DoS 保護プロファイルに設定された最大同時セッション数の制限に達するか超えると増加します。
以下は、ファイアウォールで増加するグローバルカウンタflow_dos_ag_max_sess_limitの例です。
> show counter global name value rate severity category aspect description -------------------------------------------------------------------------------- flow_dos_ag_max_sess_limit 1 0 drop flow dos Session limit reached for aggregate profile, drop session注:この過剰なトラフィックは、外部の攻撃者がサービス拒否攻撃を実行しようとしている場合もあれば、単にネットワーク内の既知のトラフィックがファイアウォールを通過する割合が高い場合もあります。 トラフィックの送信元と性質を絞り込んで、どの異常なトラフィック フローがこれを引き起こしたかを判断する必要があります。
Environment
- 次世代ファイアウォール
Procedure
- [脅威ログの監視(Monitor > Threat Logs)] に移動し>名前が「セッション制限イベント(Session Limit Event)」のログを検索して、関連する送信元 IP アドレスと宛先 IP アドレス/ポート、および最大同時セッション制限に達した DoS 保護プロファイル/ルールを特定します。
- トラフィックが既知/正当なトラフィックである場合は、次のアクションの 1 つ以上を実行します。
- このトラフィックを生成しているデバイスに移動し、デバイスが送信元でこのトラフィックを送信しないようにシャットダウン/停止します
- そのデバイス/アプリケーションがトラフィックを送信する速度を遅くするか、分散させます
- このトラフィックがファイアウォールに到達する前に、このトラフィックのパスにあるデバイスでこのトラフィックをブロック/拒否します
- 多くのパケットがファイアウォールに繰り返し侵入する原因となるルーティングの問題/ループがないことを確認します
注:既存の値が小さすぎて、既知の正当なトラフィックがドロップされている場合は、 最大同時セッション数を高い値に調整できます。 推奨値については、 DoS Protection プロファイル を参照してください。
Additional Information
「展開後の DoS およびゾーン保護のベスト プラクティスに従う」の手順を頻繁に実行して、ゾーン保護と DoS 保護のファイアウォール構成がネットワーク トラフィック パターンに適切かつ効果的であることを確認します。
追加情報:
DoS およびボリューム型 DDoS 攻撃からの防御
DoS 保護の設定方法
DoS ログとカウンタについて DoS
およびゾーン保護のベスト プラクティス