отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Community Live

316
Просмотры
5
Полезный материал
1
Ответы
SkyrunnerTM
Beginner

Количество эмбриональных подключений

Доброго времени суток!

В рамках выполнения работы столкнулся с необходимостью защиты внешнего сегмента сети от DoS-атаки типа Slowloris путём использования межсетевого экрана Cisco ASAv. Развернув имитационный стенд в системе эмуляции сети, создал необходимую топологию, задал  на межсетевом правила для фильтрации этих соединений и сымитировал атаку на сервер Apache. Атака, к сожалению, выполнила поставленную перед ней цель и "уронила" сервер, не смотря на запрет в виде 

policy-map PM_SLOWLORIS
 class CM_SLOWLORIS
   set connection embryonic-conn-max 1

Команда show local-host показывает следующее:

local host:<IP-address of Apache>

TCP embryonic count to host = 1.

Почему же, не смотря на всё это сервер упал и система мониторинга Zabbix, осуществляющая мониторинга этого самого Apache во время проведения DoS-атаки срабатывает на событие Apache:Workers reading request>10 положительно, хотя,  если я правильно понимаю, количество Reading-запросов должно ограничиваться ASA-ой в количестве 1 штуки. Разъясните неопытному, буду очень благодарен. Заранее спасибо за ответы!

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения
Sergey Lisitsin
Collaborator

Добрый день.

 

В данном случае всё правильно. Slowloris подразумевает большое количество полностью установленных TCP-сессий. Незаконченнымы при этом являются HTTP-запросы. Так что Ваша политика безопасности не действенна против такой атаки. Вы ограничиваете только количество эмбриональных подключений, тогда как Slowloris заканчивает TCP-handshake. Это атака 7 уровня, поэтому Вам надо применять технику защиты на этом уровне. Я не знаю, есть ли в инструментарии ASA специализированная защита от этого вида атак, но ограничив количество законченных подключений до 20 на клиента, Вы сможете обезопасить Ваш сервер от DoS атаки, по крайней мере на стенде. В реальной жизни, если атака будет распределённая, сервер всё равно упадёт. Если только не ограничить абсолютное число подключений.

 

Вот тут описано как это конфигурируется.

https://www.cisco.com/c/en/us/td/docs/security/asa/asa92/configuration/firewall/asa-firewall-cli/conns-connlimits.html

 

Просмотреть решение в исходном сообщении

1 ОТВЕТ 1
Sergey Lisitsin
Collaborator

Добрый день.

 

В данном случае всё правильно. Slowloris подразумевает большое количество полностью установленных TCP-сессий. Незаконченнымы при этом являются HTTP-запросы. Так что Ваша политика безопасности не действенна против такой атаки. Вы ограничиваете только количество эмбриональных подключений, тогда как Slowloris заканчивает TCP-handshake. Это атака 7 уровня, поэтому Вам надо применять технику защиты на этом уровне. Я не знаю, есть ли в инструментарии ASA специализированная защита от этого вида атак, но ограничив количество законченных подключений до 20 на клиента, Вы сможете обезопасить Ваш сервер от DoS атаки, по крайней мере на стенде. В реальной жизни, если атака будет распределённая, сервер всё равно упадёт. Если только не ограничить абсолютное число подключений.

 

Вот тут описано как это конфигурируется.

https://www.cisco.com/c/en/us/td/docs/security/asa/asa92/configuration/firewall/asa-firewall-cli/conns-connlimits.html

 

Просмотреть решение в исходном сообщении

Создать
Выразить признание своим коллегам
Content for Community-Ad

Сообщество Помогает Сообществу

Помощь по сообществу