Defensa de ataques DoS y DDoS volumétricos
Symptom
Los ataques de inundación de red pueden abrumar los CPU componentes o Memoria, lo que detiene los firewall servidores o los servidores detrás de él.
Environment
PAN-OS >= 7,1
Cause
Inundación de la red
Resolution
El primer paso para entender cómo defenderse de un ataque DoS es identificar qué características tiene.
Por número de fuentes de ataque:
Ataques DDoS: el ataque es multihosdante (distribuido).Ataques DoS: el ataque es de origen único.
Por cómo el tráfico es procesado por firewall el :
Ruta lenta: Los paquetes de ataque dan lugar a la creación de nuevas sesiones. Esto significa que los paquetes siguen la trayectoria lenta, donde cada paquete necesita ejecutar policy la búsqueda y la instalación de la sesión.Trayectoria rápida: Los paquetes de ataque crean solamente una sesión y los paquetes sucesivos continúan haciendo juego esa sola sesión. Esto significa que el paquete sigue la trayectoria rápida, donde policy no se requiere la evaluación de la coincidencia.
Por lo que está siendo atacado:
Host bound: el objetivo del ataque es una IP dirección propiedad del servidor detrás del : El objetivo del ataque es una dirección propiedad de firewallun dispositivo detrás del archivo firewall IP firewall .
Qué protecciones se deben utilizar
Ataques volumétricos DDoS
Las redes de Palo Alto firewall no están posicionadas para defenderse de los ataques volumétricos DDoS, sin embargo, protección de zona puede ayudar a salvaguardar los firewall recursos. Las directivas DoS realizan un seguimiento de la velocidad de conexión por segundo por source-ip y, en los ataques distribuidos, los orígenes son muchos, donde cada source-ip puede no generar suficiente volumen para desencadenar reglas basadas en la conexión por segundo. Con la protección de zona, toda la velocidad de conexión por segundo entrante a las interfaces en la zona se puede agregar independientemente de que el source-ip envíe el tráfico, y la zona de Internet se puede sacrificar para continuar permitiendo el tráfico entre otras firewall zonas. Protección de zona apagará el protocolo que se está aprovechando para el ataque, lo que significa que la inundación de red DDoS por parte del atacante tendrá éxito en derribar la conectividad a Internet. Dado que la protección de zona derribará el protocolo utilizado por los paquetes, esto significa que si el ataque está basado, entonces la ICMP protección de zona podría ayudar a aliviar los ataques ICMP DDoS, mientras continúa permitiendo TCP , y otro tráfico de UDP Internet. La razón por la que la protección de zona no debe utilizarse para defender los servidores detrás firewall de la es que simplemente reduciría el umbral de éxito del ataque - causará la denegación de servicio a una velocidad de conexión por segundo más baja que el servidor de aplicaciones puede ser capaz de permanecer en pie, por lo que sólo ayudaría al atacante a alcanzar su objetivo con menos esfuerzo.Para defenderse adecuadamente de los ataques DDoS volumétricos, se debe utilizar un dispositivo DDoS especializado. Como alternativa, la mayoría de ISP 's ofrecerá protección DDoS opcional. Compruebe con su ISP si ese es un servicio que ofrecen.
Durante un ataque activo, la velocidad de conexión por segundo se puede estimar consultando un solo segundo de registros de tráfico y contando el número de entradas. Esta técnica también se puede utilizar para determinar si el ataque es de origen múltiple o único.
Slow Path hace ataques contra el firewall
Para defender los firewall recursos de un ataque doS de ruta lenta, utilice Protección contra zonas - Protección contra inundaciones.Las redes de Palo Alto firewall pueden realizar un seguimiento de las tarifas de conexión por segundo para llevar a cabo descartes a través de aleatorias caídas tempranas RED () o cookies SYN (si el ataque es una SYN inundación).
SYN Las cookies son una técnica que ayudará a evaluar si el paquete recibido SYN es legítimo o forma parte de una inundación de red. El firewall descartará el SYN paquete, lo codificará en el número de secuencia inicial en un hecho a mano SYN-ACK y solo reconstruirá el apretón de manos de tres vías si se recibe un válido de la ACK fuente.
Protección de zona: inundación de red realiza un seguimiento de la velocidad de conexión por segundo que llega a una zona. Agrega toda la velocidad de conexión por segundo (para cada Protocolo) que viene en todas las interfaces vinculadas a la zona protegida. La protección de zona no se aplica a los paquetes que hacen juego una sesión activa. El propósito de esta protección es defender los Firewall recursos. La idea es "sacrificar" una zona para que otras zonas en la firewall puede seguir intercambiando tráfico, aunque si el ataque DDoS viene de Internet, el servicio de Internet se puede desconectar durante la duración del ataque (si usted está tratando de defenderse de DDoS para que su servicio de Internet no se ve afectado, protección de zona es típicamente contraproducente, ya que simplemente reducirá el umbral objetivo para un ataque exitoso). Es importante tener en cuenta que una de las ventajas potenciales de la protección de zona para la mitigación DDoS, es que el apagado del tráfico ocurre por protocolo, así que si el DDoS está ICMP basado, la zona está apagada para todo el ICMP tráfico, mientras continúa permitiendo todo TCP , , UDP ICMPv6 y IP otro tráfico. (En otras palabras, la protección de zona puede ser útil en la mitigación DDoS ICMP para, ICMPv6 y tráfico de IP otros, ya que estos son en la mayoría de los casos, no protocolos esenciales para el servicio de Internet).
Cada vez que se activa una protección contra inundaciones de red de protección de zona, el origen del ataque no se escribe en los registros (no hay un único origen). La atribución en ataques DoS generalmente no es útil, ya que los atacantes normalmente suplantarán la dirección de origen.
Las entradas del registro de amenazas de protección de zona indicarán "De zona" y "A zona" y ambas serán la misma zona (indica zona de entrada de la inundación). El nombre de la "regla" estará vacío.
| Nota: Nunca utilice los valores de umbral predeterminados para Alerta, Activar y Máximo, ya que esto puede conducir a una interrupción autoinfligida (la configuración establecida demasiado baja daría lugar a descartar el tráfico legítimo). Encontrar valores adecuados no es una tarea trivial ni una acción de conjunto y olvido, y requerirá prueba y error estableciendo Activar y Máximo valores en la configuración más alta y aprovechando la velocidad de alerta para evaluar los picos máximos de tráfico legítimo.Puede haber eventos de red especiales o estacionales como ventas navideñas, copias de seguridad de red o cosas similares que empujarían el tráfico legítimo más alto, por lo que estos valores deben tener en cuenta el crecimiento futuro del tráfico de red y los picos legítimos. |
Slow Path hace ataques contra recursos detrás de la firewall
Para defender los recursos detrás firewall de un ataque DoS de ruta lenta, utilice Directivas DoS - Protección contra inundaciones.DoS Policy : Agregada
velocidad de conexión por segundo que coincide con un DoS Policy . Agrega todas las velocidades de conexión por segundo que coinciden con el DoS Policy . El propósito de esta protección es ofrecer una defensa más global para los servicios alojados *detrás* del firewall .
Cada vez que se desencadena una protección DoS Policy : Aggregate, el origen del ataque no se escribe en los registros (no hay un único origen).
Agrega directivas DoS Las entradas del registro de amenazas no indican "De zona" y "A zona" y, en su lugar, indicarán el Policy nombre de la "regla" de DoS.
DoS Policy : Clasificado - pista por fuente
Realice un seguimiento de la velocidad de conexión por segundo que coincida con un DoS Policy . Agrega todas las velocidades de conexión por segundo que coinciden con el tráfico por origen IP a cualquier IP destino. El propósito de esta protección es ofrecer una defensa más granular.Cada vez que se activa una protección DoS Policy : Classified, el origen del ataque se escribe en los registros. Tenga en cuenta que la atribución no es posible ya que la fuente se suplanta típicamente, sin embargo, puede aprovechar la fuente IP al PBF tráfico a Descartar, o moverla a un DoS más Policy agresivo.
DoS Policy : Clasificado - pista por origen y destino.
Realice un seguimiento de la velocidad de conexión por segundo que coincida con un DoS Policy . Agrega todas las velocidades de conexión por segundo que coinciden con el tráfico por origen IP a destinos IP específicos. El propósito de esta protección es ofrecer la defensa más granular.Cada vez que se activa una protección DoS Policy : Classified, el origen del ataque se escribe en los registros. Tenga en cuenta que la atribución no es posible ya que la fuente es típicamente suplantada, sin embargo usted puede aprovechar la fuente IP al PBF tráfico a descartar, de moverlo a un DoS más Policy agresivo.
Durante un ataque DoS activo, puede configurar un DoS Classified policy para detectar fuentes infractoras y mover manualmente IP a los atacantes a un objeto más policy restrictivo. En un ataque DDoS, esto normalmente no es eficaz porque el origen del ataque puede provenir de cientos de fuentes, todas enviando pequeñas tasas de conexión por segundo - no cruzando los umbrales definidos.
Ruta rápida hace ataques
Para defender los firewall recursos de un ataque DoS de ruta rápida, utilice Protección de búfer de paquetes.En los ataques de trayecto rápido, la velocidad de conexión por segundo está cerca de 0, porque los paquetes sucesivos coinciden con una conexión activa y no implementa nuevas sesiones., por lo tanto, las protecciones basadas en umbral de conexión por segundo no se aplican.
Si se trata de un único ataque de ruta rápida de origen, verá en su lugar una sola sesión con un número considerable de bytes. Sólo tenga en cuenta que las entradas del registro de tráfico se escriben cuando termina la sesión, así que si el ataque está activo puede no aparecer en los registros de tráfico hasta que finalice la sesión. Puede borrar todas las sesiones (con el permiso del cliente) para forzarlo a finalizar y escribir las entradas de registro. Algunas sesiones de larga duración también pueden darle la falsa impresión de que hay una gran cantidad de bytes transitados a través de una sesión despejada y se puede inferir como relacionado con el ataque, así que preste atención a la marca de tiempo de fecha de inicio en la sesión (tal vez agregue la fecha de inicio como un filtro de consulta adicional).
Si hay agotamiento del búfer de paquetes puede implementar PBP para defender el si el ataque está firewall aprovechando una o muy pocas sesiones permitidas para el ataque
Algunos tipos de tráfico pueden agotar los descriptores de paquetes antes de los buffers de paquetes, y en ese caso, si las firewall carreras PAN-OS >= 10.0 usted puede cambiar el modo de aprovechar la PBP latencia del paquete en lugar de la utilización del buffer del paquete, que puede dar lugar a una mitigación más efectiva.
Additional Information
A nota técnica para entender nuestras características de DoS Protection está disponible en: https://live.paloaltonetworks.com/t5/Tech-Note-Articles/Understanding-DoS-Protection/ta-p/54562