如何缓解“flow_dos_ag_max_sess_limit”全局计数器的异常增加
4327
Created On 11/29/23 00:29 AM - Last Modified 12/19/23 05:19 AM
Objective
当达到或超过为聚合 DoS 保护配置文件配置的最大并发会话数限制时,计数器flow_dos_ag_max_sess_limit递增。
下面是防火墙中递增的全局计数器flow_dos_ag_max_sess_limit示例:
> show counter global name value rate severity category aspect description -------------------------------------------------------------------------------- flow_dos_ag_max_sess_limit 1 0 drop flow dos Session limit reached for aggregate profile, drop session注意:这种过多的流量可能是外部攻击者试图执行拒绝服务攻击,也可能只是网络中通过防火墙的已知流量率很高。 必须缩小流量的来源和性质,以确定哪些异常流量导致了这种情况的发生。
Environment
- 下一代防火墙
Procedure
- 通过导航到“监控>威胁日志”>搜索名称为“会话限制事件”的日志,确定涉及的源 IP 和目标 IP 地址/端口,以及哪个 DoS 保护配置文件/规则已达到其最大并发会话限制
- 如果流量是已知/合法流量,请执行以下一项或多项操作:
- 转到生成此流量的设备,并关闭/停止设备在其源发送此流量
- 减慢或分散该设备/应用程序发送流量的速率
- 在此流量到达防火墙之前,在此流量路径中的设备上阻止/拒绝此流量
- 验证是否存在导致许多数据包反复进入防火墙的路由问题/环路
注意:如果现有值太低并且正在丢弃已知的合法流量,则可以将 最大并发会话数调整为更高的值。 有关建议的值,请参阅 DoS 保护配置文件 。
Additional Information
请经常执行遵循部署后 DoS 和区域保护最佳实践中的步骤,以确保区域保护和 DoS 保护的防火墙配置适合您的网络流量模式且有效。
附加信息:
防御 DoS 和容量耗尽型 DDoS 攻击
如何设置
DoS 保护 了解 DoS 日志和计数器 DoS 和
区域保护最佳实践