DoS 攻撃とボリューム DDoS 攻撃からの防御
Symptom
ネットワーク フラッド攻撃は、または Memory コンポーネントを圧倒し CPU 、その背後にある firewall サーバーやサーバーを停止させることができます。
Environment
PAN-OS >= 7.1
Cause
ネットワークの洪水
Resolution
DoS 攻撃に対する防御方法を理解するための最初のステップは、その攻撃がどのような特性を持つのかを特定することです。
攻撃ソースの数:
DDoS 攻撃: 攻撃はマルチソース (分散) です。DoS 攻撃: 攻撃は単一ソースです。
トラフィックが処理される方法によって firewall 、
低速パス: 攻撃パケットは新しいセッションを作成します。 つまり、パケットは低速パスに従い、各パケットは policy ルックアップとセッションのインストールを実行する必要があります。高速パス: 攻撃パケットは 1 つのセッションのみを作成し、連続するパケットはその 1 つのセッションと一致し続けます。 これは、パケットがファースト パスに従うことを意味し、 policy 一致評価は必要ありません。
攻撃を受けているもの:
ホストのバインド: 攻撃の対象は、 IP サーバーが所有するアドレスの firewall背後 firewall にある : 攻撃の対象は、 の IP 背後にあるデバイスが所有するアドレスです firewall 。
使用する保護の内容
容積DDoS攻撃
パロアルトネットワークス firewall は、ボリュームDDoS攻撃から防御する立場にはないが、ゾーン保護は、リソースを保護するのに役立ちます firewall 。 DoS ポリシーは、1 秒あたりの接続レートを source-ip によって追跡し、分散攻撃ではソースが多く、各ソース IP が 1 秒あたりの接続ベースのルールをトリガーするのに十分なボリュームを生成しない場合があります。 ゾーン保護を使用すると、送信元 IP がトラフィックを送信しているかどうかにかかわらず、ゾーン内のインターフェイスに着信する 1 秒あたりの接続数全体を集約でき、インターネット ゾーンを犠牲にして他のゾーン間のトラフィックを許可し続けることができます firewall 。 ゾーン保護は、攻撃に利用されているプロトコルをシャットダウンし、攻撃者によるDDoSネットワークの氾濫がインターネット接続を停止させることに成功します。 ゾーン保護がパケットによって使用されるプロトコルをダウンさせると、これは、攻撃が ICMP 基づいている場合、ゾーン保護が ICMP 許可し続け、インターネット TCP からのその他のトラフィックを許可しながら、DDoS攻撃を軽減することができることを意味 UDP します。 ゾーン保護を使用してサーバーを守るべきではない理由 firewall は、攻撃の成功しきい値を下げるだけであり、アプリケーションサーバーがホイットスタンドできるよりも低い接続毎秒の速度でサービス拒否を引き起こすため、攻撃者がより少ない労力で目的に到達するのを助けるだけです。ボリューム DDoS 攻撃を適切に防御するには、専用の DDoS アプライアンスを使用する必要があります。 代わりに、大部分の ISP のの代わりに、オプションのDDoS保護が提供されます。 ISPそれが彼らが提供するサービスであるかどうかを確認してください。
アクティブな攻撃の間、1 秒のトラフィック ログをクエリし、エントリの数をカウントすることで、1 秒あたりの接続数を推定できます。 この手法は、攻撃がマルチソースか単一のソースかを判断するためにも使用できます。
スローパス DoS 攻撃に対する firewall
firewall低速パス DoS 攻撃からリソースを防御するには、ゾーン保護 - フラッド防止を使用します。パロアルトネットワークスは firewall 、ランダムアーリードロップ RED ()または SYN クッキー(攻撃が洪水の場合)を介して廃棄を実行するために、毎秒の接続率を追跡することができます SYN 。
SYN クッキーは、受信 SYN パケットが正当なものか、ネットワークの氾濫の一部であるかどうかを評価するのに役立つ手法です。 firewallは SYN 、パケットを破棄し、それを細工されたシーケンス番号に体系化 SYN-ACK し、有効なパケットがソースから受信された場合にのみ 3 方向ハンドシェイク ACK を再構築します。
ゾーン保護 - ネットワーク フラッドは、ゾーンに着信する 1 秒あたりの接続レートを追跡します。 これは、保護されたゾーンに関連付けられているすべてのインターフェイスで(各プロトコルに対して)毎秒のすべての接続レートを集約します。 ゾーン保護は、アクティブなセッションに一致するパケットには適用されません。 この保護の目的は、リソースを守 Firewall ることにあります。 firewallDDoS攻撃がインターネットから来ている場合、インターネットサービスは攻撃の間オフラインにすることができます(インターネットサービスが影響を受けないようにするには、ゾーン保護は通常、攻撃の成功のためのターゲットしきい値を下げるため、ゾーン保護は自滅的です)。 DDoS 緩和のためのゾーン保護の潜在的な利点の 1 つは、トラフィックのシャットダウンがプロトコルごとに発生することであるため、DDoS が ICMP 基づいている場合、ゾーンはすべてのトラフィックに対してシャットダウンされ ICMP 、すべてのトラフィック TCP UDP 、ICMPv6、その他のトラフィックを許可し続けることにあります IP 。 (つまり、ゾーン保護は、インターネット ICMP サービスにとって不可欠なプロトコルではないほとんどの場合、ICMPv6 およびその他 IP のトラフィックに対する DDoS 緩和策に役立つ可能性があります。
ゾーン保護ネットワークのフラッド保護がトリガーされると、攻撃のソースはログに書き込まれません(ソースは 1 つもありません)。 DoS 攻撃のアトリビューションは、通常、攻撃者がソース アドレスを偽装するので、一般的には有用ではありません。
ゾーン保護脅威ログエントリは「ゾーンから」と「ゾーンへ」を示し、両方とも同じゾーンになります(フラッドの入力ゾーンを示します)。 「ルール」名は空になります。
| 注: アラート、アクティブ化、最大のデフォルトのしきい値を使用すると、自傷的な停止が発生する可能性があるため、使用しないでください (設定が低すぎると正当なトラフィックが破棄されます)。 適切な値を見つけることは、単純な作業でも、セットアンドフォーゲットアクションでもなく、アクティブと最大値を最高の設定に設定し、アラートレートを活用して最大の正当なトラフィックピークを評価することで試行錯誤が必要です。休日の販売、ネットワークバックアップ、または正当なトラフィックを押し上げるような特別なまたは季節的なネットワークイベントが発生する可能性があるため、これらの値は将来のネットワーク トラフィックの増加と正当なスパイクを考慮する必要があります。 |
背後にあるリソースに対する低速パス DoS 攻撃 firewall
firewall低速パス DoS 攻撃から背後にあるリソースを防御するには、DoS ポリシー - フラッド防止を使用します。DoS Policy : DoS
に一致する 1 秒あたりの接続数を追跡する集約 Policy 。 DoS に一致するすべての接続/秒レートを集約 Policy します。 この保護の目的は、ホストされているサービスに対してよりグローバルな防御を提供することです* 後ろに * firewall
DoS: Policy 集約保護がトリガーされると、攻撃のソースはログに書き込まれません(ソースは 1 つもありません)。
DoS ポリシーの脅威ログエントリの集計は"From Zone"と "To Zone" を示すものではなく、代わりに DoS Policy の "ルール" 名を示します。
DoS Policy : 分類済み - ソース別トラック
DoS に一致する 1 秒あたりの接続数を追跡 Policy します。 これは、すべての接続毎秒レートが任意の宛先に送信元ごとのトラフィック IP を一致させます IP 。 この保護の目的は、より詳細な防御を提供することです。DoS: Policy 分類された保護がトリガーされるたびに、攻撃のソースがログに書き込まれます。 ソースは通常スプーフィングされるため、帰属は不可能ですが、ソースを利用 IP して PBF トラフィックを破棄するか、より積極的な DoS に移動することができます Policy 。
DoS Policy : 分類 - ソースと宛先別に追跡します。
DoS に一致する 1 秒あたりの接続数を追跡 Policy します。 送信元ごとのトラフィックを特定の宛先のトラフィックに一致させる、すべての接続毎秒レート IP IP を集約します。 この保護の目的は、最も細かい防御を提供することです。DoS: Policy 分類された保護がトリガーされるたびに、攻撃のソースがログに書き込まれます。 ソースは通常スプーフィングされるため、帰属は不可能ですが、ソースを利用 IP して PBF 、廃棄するトラフィックのどちらかに、より積極的なDoSに移動することができます Policy 。
アクティブな DoS 攻撃の間、DoS Classified を構成 policy して問題のあるソース IP を検出し、攻撃者をより制限的な policy . DDoS 攻撃では、攻撃のソースが何百ものソースから来る可能性があるため、通常は効果的ではありません。
高速パス DoS 攻撃
firewall高速パス DoS 攻撃からリソースを防御するには、パケット バッファ保護を使用します。高速パス攻撃では、連続するパケットがアクティブな接続に一致し、新しいセッションをデプロイしないため、1 秒あたりの接続レートは 0 に近くなります。
単一のソース型高速パス攻撃の場合、代わりにバイト数が多い単一のセッションが表示されます。 ただ、トラフィックログエントリはセッション終了時に書き込まれるので、攻撃がアクティブな場合、セッションが終了するまでトラフィックログに表示されないことがあります。 すべてのセッションを (顧客の許可を得て) クリアして、強制的に終了し、ログエントリを書き込むことができます。 また、長時間のセッションによっては、クリアされたセッションを通じて転送されるバイト数が多く、攻撃に関連していると推測される可能性があるという誤った印象を与える場合があります。
攻撃に対して 1 PBP つまたは少数の許可セッションを利用している場合にパケット バッファの枯渇がある場合、 firewall パケット
バッファの前にパケット記述子を使い果たす可能性があり、その場合は firewall PAN-OS >= 10.0 を実行すると、パケット PBP バッファの使用率ではなく パケット遅延 を利用するモードに移行して、より効果的な緩和策を実現できます。
Additional Information
A DoS 保護機能を理解するためのテクニカル ノートは、次のサイト https://live.paloaltonetworks.com/t5/Tech-Note-Articles/Understanding-DoS-Protection/ta-p/54562