web-dev-qa-db-ja.com

Cisco ASA 5505はこのDDoS攻撃をブロックできますか?

1週間以上前から、専用サーバー(ovh.comにあります)はTCP= SYN(私が思う))攻撃を受けています。OVHはそれを気にしませんが、この攻撃は私を殺していますCPU負荷が高いサーバー(最初の時点で永続的に100%)。

私のホストにCisco ASA 5505を追加するオプションがあり、そのような攻撃を本当にブロックできるかどうか知りたいのですが。このファイアウォールの経験はありますか?

ログを正しく解析した場合、2つのポートで1分あたり550の異なるIPスパムTCP SYNパケット(合計18320パケット))のようなものが得られます(これらのポートは変更できません。私もそうです、攻撃者も即座に攻撃を変更します)。

ピーク時に、1分あたり2.000以上の異なるIP(36640パケット)を正確に計算しました。

彼らは私のサイトでGET攻撃も行っていますが、このCisco ASA 5505はこれについて何かできますか?

また、攻撃からMbps/Gbpsを「計算」する方法を教えてください。

私はほとんどすべてをテストし、すべてのIPをブロックし、サーバーのIPを変更し、edportを変更し、リモートプロキシのDDoS保護も変更しましたが、成功しませんでした。

私はこのログをWireshark(メモ帳で開くことができます)で1分間以上「レギット」トラフィックなしで記録したため、このトラフィックはすべて攻撃です。 ここ はログです。

5
Dr. House

ここには個別のクエリがいくつかあるので、それらを試してみます。

IPアドレスを持っている場合は、はい、5505をブロックできます。これは非常に簡単です。IPアドレスをブロックリストに追加するだけです(または、必要に応じて、既知の適切なIPからのトラフィックを除くすべてをブロックします-ホワイトリスト)。

シスコはSYNフラッド保護を提供します-それが特定の状況に適合するかどうかを確認するのは一見の価値があります。これは非常に基本的ですが、特定のシナリオで非常にうまく機能します。

5505はGETリクエストには役立ちません-Deep Inspect対応のファイアウォールが必要です。 Webサーバーによっては、ここでこれを実行できる場合があります。

プロキシのddos緩和策は役に立たなかったと言います。これは実際に数千の企業が使用する非常に有用で成功したソリューションであるため、おそらくそれをどのように使用しているかを確認する必要があります。

5
Rory Alsop