web-dev-qa-db-ja.com

Cisco ASA SYNフラッド検出および応答が機能しない

Cisco ASA 5510(ASAバージョン8.3(2))があり、それに対してSyn Flood攻撃を受けています(より正確にはthroughit-ターゲティングしています)その背後のホスト)過去数日間、1日に数回。インターネット接続自体はまともで、回線が完全に飽和しているようには見えませんが、代わりに、CPUが100%になり、有効なトラフィックのほとんどすべてがドロップされます。

攻撃はランダムなスプーフィングされたIPを使用しているようです-送信元アドレスはまったく繰り返されません。

私は、接続の最大数と初期接続の最大数を有効にするために、 ここ の指示に従いました。使用された正確なコマンドは次のとおりです。

fw1(config)# class CONNS
fw1(config-cmap)# match any
fw1(config)# policy-map CONNS
fw1(config-pmap)# class CONNS
fw1(config-pmap-c)# set connection timeout embryonic 0:0:5
fw1(config)#service-policy CONNS global

(理論的には、最大接続数がASAの脅威応答をトリガーするという理論です。少なくとも、CPUがスピンアウトしてデバイスをロックするのを防ぎます。接続タイムアウトが低いと、当然、偽のTCP接続を追跡できなくなります。うまくいけば、追跡する必要があるものの数を減らします。)

しかし、これは次の攻撃が来たときに何の違いもないように見えました。接続はまだ全体的に最大になります(CPUも100%のままです):

fw1# show conn count
130000 in use, 130001 most used

だから私は私が持っているサーバーでテストをセットアップし、このテストシナリオを得ることができました:

Linuxテスト攻撃者:

(iptables configured to drop anything back from ASA)
# Sudo hping2 -i u2000 -S -p 80 RE.DA.CT.ED

として:

fw1# show threat-detection statistics Host RE.DA.CT.ED
Current monitored hosts:11991  Total not monitored hosts:28657651
                          Average(eps)    Current(eps) Trigger      Total events
Host:RE.DA.CT.ED: tot-ses:2993977 act-ses:6493 fw-drop:0 insp-drop:0 null-ses:2979635 bad-acc:0
  20-min Recv attack:             1227             492      43           1473050
  1-hour Sent byte:               6281             260       0          22611776
  1-hour Sent pkts:                142               5       0            513064
  1-hour Recv byte:              33377           11439       0         120159833
  1-hour Recv pkts:                834             285       0           3002986

Hping2コマンドを実行すると、act-ses:6493の部分が増加します。 show conn countは、全体的な接続数の増加も示しています。

ASAログの少し後に、次のようなメッセージが表示されます。

[   RE.DA.CT.ED] drop rate-1 exceeded. Current burst rate is 0 per second, max configured rate is 10; Current average rate is 84 per second, max configured rate is 5; Cumulative total count is 101750
TCP Intercept SYN flood attack detected to RE.DA.CT.ED/80 (RE.DA.CT.ED/80). Burst rate of 820 SYNs/sec exceeded the threshold of 400.

ただし、Syn Floodを検出した後でも、合計接続数が増加し続けることがわかります。また、脅威検出統計のfw-dropカウントが常にゼロであることにも気づきました。

以上のことから、私の具体的な質問は次のとおりです。

1)ASAの「syn cookie」サポートが有効になっていることを確認する方法はありますか(特定のターゲットIPに対して、またはグローバルに、あるいは有用なコンテキストに対して)。

2)syn cookieがアクティブ化されている場合-これらのsynパケットは、そのIPのact-sesカウントに対して、または全体的な接続カウントに対してカウントされないはずですか?

3)上記の設定に明らかなエラーや欠落しているように見える重要なものはありますか?

編集:3日後、まだわかりません。任意の入力を歓迎します。

firewallsddosciscofloodingcisco-ios
9
bgp

あなたはこれを経験していたのではないかと思います- https://tools.Cisco.com/security/center/content/CiscoSecurityAdvisory/Cisco-sa-20180418-asa2 (タイムフレームの違いを理解していますしかし、長年にわたってこれらのタイプのアドバイザリの多くがありました)これがお役に立てば幸い...

1
J.J