ハードウェアファイアウォールでCPU使用率が高くなるSYNフラッディング攻撃

ファイアウォールの前にルーターがある場合は、ルーターを構成して、IPアドレスから発信されたパケットをドロップします。ルーターは、ファイアウォールと比較して、そのレベルのネットワークアクティビティに対応できるように適切に装備されている必要があります（私は...）。

ファイアウォールがすべての着信SYNパケットの新しい接続を追跡している場合、これは予想されることです。実際、それはまさにSYNフラッド攻撃のポイントです。

ファイアウォールがステートレス（接続追跡なし）の場合、SYNパケットは他のパケットと同じように扱われるため、SYN​​フラッドによる顕著な影響は期待できません。

物理インターフェイスは1Gbpsかもしれませんが、それは必ずしもハードウェア自体がそれほど多くを処理できることを意味しません。デバイスの仕様を見ると、特に興味深い項目がいくつかあります。

• SPIファイアウォールのスループット：250 Mbps
• UTMスループット（AV + IDP）：40 Mbps
• 最大セッション数：40,000

つまり、アップリンクスループットがデバイスの最大トラフィックであっても、everパスは250 Mbpsです。これは、ハードリミットではない可能性があります。少し高くなる可能性がありますが、メーカーが保証するのはそれだけです。制限はおそらくハードウェア、おそらくIOバックプレーンですが、おそらくCPUです。

追加の機能を有効にすると、このスループットは低下するだけなので、アンチウイルスと侵入検知および防止を有効にすると、40 Mbpsしか評価されないことがわかります。これは最も確実にプロセッサに関連しており、ピーク時に見たと言っていることとかなり似ています。

別のハード制限は、最大セッション数です。これは、デバイスが処理できるオープン接続の総数です。通常、この制限に達すると、新しい接続はすべて拒否されます。接続追跡テーブルはメモリに格納されるため、これは通常メモリの制限です。

いずれにしても、サービスの実行による完全な影響と、デバイスで可能なことを本当に理解する必要があります。これは、このような状況で何が起こるかを知る唯一の方法です。

ハードウェアファイアウォールで作業していて、Syn-cookieと呼ばれるものがありました。ファイアウォールは、Synパケットだけを受信した後、完全な接続を作成しません.syn-ackを送信し、ackを待ってから接続を作成します。

Syn cookie wikiページ

このファイアウォールにこの機能があるかどうかを確認してください。簡単に検索しましたが、記事が見つかりませんでした。

これを処理する方法は他にもあります。1つの方法は、Terryが上記の投稿で述べた方法と似ており、IPフィルタリングデバイスでそのマシンからのパケットをブロックするか、ソースルーティングをセットアップして（その機能がデバイスに存在する場合）、問題のあるIPからヌルインターフェイスにすべてのパケットを送信します。

ほとんどのファイアウォールにはレート制限機能があります。つまり、1つのソースIPからの1秒あたりの接続数が特定の制限を超えた場合、そのソースIPからの接続のドロップを一定期間開始します

別のポイント（スコットが言及）は、セッション処理エンジンに関するものです。このデバイスはステートフルファイアウォールであることを理解しています。一部のデバイスでは、ステートフルインスペクション機能がオフになっていることがあります（これはセキュリティ上の脅威であり、また、デバイスでセッションがオーバーシュートし、CPU使用率が高くなる可能性があります）

問題を阻止するもう1つの方法は、拒否アクションを含むセッションテーブルエントリです。そのため、悪意のあるIPによって送信されている各パケットがポリシールックアップをトリガーして拒否されます。ポリシールックアップはCPUに負荷がかかる可能性があります。一部のファイアウォールには、この機能があります。パケットがポリシーによって拒否された場合、そのパケットのセッションテーブルエントリが作成され、拒否アクションがキャッシュされるため、同じIPからの次のパケットがポリシー/ルーティングステージにまったく到達せず、セッションルックアップステージ自体でドロップされます。 。

言及されているものはすべて、ファイアウォールがこれらの攻撃を防ぐために使用できる一般的な方法です。これらの手法のいずれかが可能かどうかを確認するには、ファイアウォールのドキュメントを調べる必要があります。