Previous 

Дополнительные параметры и защита от flood-атак

Next

Команда «Параметры» меню «Параметры доступа» правил дополнительной фильтрации содержит список дополнительных опций межсетевого экрана.

flood_img1_050722

Окно состоит из трех вкладок. Первые две, Соединения и Анти-флуд и СОВ, предназначены для настройки системы защиты ФПСУ-IP от атак отказа в обслуживании (flood-атак). Переход между вкладками осуществляется установлением курсора на вкладке и нажатием сочетания клавиш <Ctrl  →> и <Ctrl  ←> или клавиш <→> и <←>.

Вкладка Соединения содержит установленные по умолчанию параметры работы межсетевого экрана ФПСУ-IP с IP/TCP/UDP соединениями в обычном режиме и в режиме после обнаружения атаки.

Здесь настраиваются таймауты, по истечению которых неактивное соединение будет удалено из внутренней таблицы контроля соединений межсетевого экрана. Указывается два типа таймаутов – время удаления записи о соединении из таблицы при штатном режиме работы ФПСУ-IP (первый столбец), и время обнаружения атаки отказа в обслуживании (второй столбец).

flood_img2_050722

Учитываются таймауты удаления из таблицы контроля соединения межсетевого экрана для следующих типов соединений:

UDP без обмена – соединением в этом случае считается трафик между уникальными UDP портами разных IP-адресов абонентов ФПСУ-IP. В случае отсутствия UDP-трафика по указанным портам, по таймауту запись о соединении удаляется из таблицы;

ICMP без обмена – соединением в этом случае считается ICMP обмен между двумя абонентами ФПСУ-IP. В случае отсутствия обмена ICMP-сообщениями в течение указанного таймаута, запись о соединении удаляется из таблицы;

IP без обмена – соединением в этом случае считаются все прочие виды трафика между двумя абонентами, не являющиеся TCP, UDP или ICMP. Запись удаляется из таблицы по таймауту при отсутствии новых обменов;

TCP в состоянии … – учитывается каждое соединение с разными TCP портами отправителя и получателя между любой парой абонентов ФПСУ-IP. По таймауту запись будет удалена из таблицы, и дальнейшее взаимодействие между этой парой абонентов должно будет начаться с повторного установления TCP-соединения. Новые пакеты, не относящиеся к установлению TCP-соединения, после удаления записи из таблицы будут сброшены. Для каждого состояния TCP-соединения используется одна запись в таблице контроля соединений межсетевого экрана ФПСУ-IP, но таймауты различаются.

Совместимость с FULL TRANSP. RiverBed – флаг, активирующий на ФПСУ-IP механизм совместимости с оптимизаторами трафика RiverBed, которые отклоняются от стандартных схем работы TCP-соединений (в том разрешение на пропуск ACK без данных).

Сброс TCP-пакетов с неверными флагами – флаг, указывающий межсетевому экрану ФПСУ-IP сбрасывать пакеты, в IP-заголовке которых обнаружены некорректные (не соответствующие рекомендуемым RFC) комбинации флагов протокола TCP.

Вкладка Анти-флуд и СОВ содержит параметры, по которым ФПСУ-IP определяет начало атаки в свои адреса или адреса защищаемых абонентов и управляет списком заблокированных IP-адресов.

Следует учитывать, что ФПСУ-IP безусловно переходит в режим защиты от flood-атаки, если оперативная память ФПСУ-IP загружается на 100%.

В режиме защиты от flood-атаки ФПСУ-IP использует тайминги удаления соединений, указанные во вкладке Соединения, а также заносит в стоп-лист IP-адреса абонентов, передающих больше пакетов в секунду, чем разрешено настройками.

flood_img3_050722

ФПСУ-IP переходит в режим защиты от атаки, если превышен хотя бы один из следующих критериев:

Максимальное кол-во новых TCP соединений (шт./сек.) – количество новых, то есть отсутствующих в таблице контроля соединений межсетевого экрана, TCP- соединений в секунду;

Максимальное кол-во новых UDP соединений (шт./сек.) – количество новых, то есть между новыми парами IP-адрес: UDP-порт, UDP- обменов в секунду;

Максимальное кол-во новых ICMP обменов (шт./сек.) – количество новых ICMP- обменов в секунду;

Максимальное кол-во новых ICMP пакетов (шт./сек.) – общее количество ICMP эхо-запросов (и только эхо-запросов) в секунду.

Во время защиты от flood-атаки, ФПСУ-IP начинает считать количество пакетов в секунду, отправленных с IP-адресов абонентов. Если это число превышает параметр «Максимальное кол-во соединений с IP-адреса (шт./сек.)», то этот IP-адрес заносится в стоп-лист, то есть все исходящие от него пакеты будут блокироваться.

Анти-флуд включен. Если флаг «Анти-флуд включен» установлен, то IP-адрес будет находится в стоп-листе время, указанное в поле «Время нахождения в стоп-листе (мин.)». Если флаг «Анти-флуд включен» не установлен, то IP-адрес будет находится в стоп-листе до перезагрузки ФПСУ-IP.

Флаг «Анти-флуд включен» влияет на действие/бездействие параметров «Максимальное кол-во новых TCP соединений (шт./сек.)», «Максимальное кол-во новых UDP соединений (шт./сек.)», «Максимальное кол-во новых ICMP обменов (шт./сек.)», «Максимальное кол-во соединений с IP-адреса (шт./сек.)». Если флаг снят, то ФПСУ-IP будет переходить в режим защиты от flood-атаки только в случаях полной загрузки оперативной памяти и в случае превышения порога ICMP эхо-запросов.

СОВ включена. Опция недоступна в данной версии.

Интеграция с внешней СОВ – команда перехода в интерфейс настройки взаимодействия ФПСУ-IP со сторонними средствами обнаружения вторжений (подробнее см. пункт «Взаимодействие со средствами обнаружения вторжений»).

На момент начала атаки ФПСУ-IP запоминает общее количество всех типов соединений – это значение потребуется для определения времени завершения атаки. Для начала выхода ФПСУ-IP из режима защиты от flood-атак, общее количество соединений сначала должно упасть до указанной в поле «Процент flood-соединений – атака считается завершенной» доли соединений, по сравнению с количеством соединений на начало атаки.

После первоначального уменьшения соединений до процентного значения, указанного в поле «Процент flood-соединений – атака считается завершенной», ФПСУ-IP запускает таймер обратного отсчета, с указанным в поле «Начальный интервал ожидания flood-атаки (мин.)» значением. Если в течение этого времени общее количество соединений не поднялось обратно выше порога, то атака считается завершенной и ФПСУ-IP переходит в обычный режим работы.

Если общее количество соединений за указанное время превысило пороговое значение, то ФПСУ-IP остается в режиме защиты от flood-атаки, таймер увеличивается в полтора раза и запускается заново. Максимальное значение таймера указывается в поле «Максимальный интервал ожидания Flood-атаки (мин.)».

Вкладка Spoofing содержит параметры, отвечающие за работу ФПСУ-IP c TCP-соединениями в режиме spoofing на медленных каналах связи.

flood_img4_050722

Если в общих настройках правила трафика выключена опция Spoof (см. пункт «Общие настройки правил трафика»), то настройки на вкладке Spoofing никак не влияют на обработку и передачу пакетов, подпадающих под описываемое правило.

Если опция Spoof включена в общих настройках правила трафика, то ФПСУ-IP отправляет подтверждение о передаче пакета получателем отправителю самостоятельно, не дожидаясь такого подтверждения от получателя. После этого ФПСУ-IP буферизирует пакеты отправителя и периодически отправляет их получателю, повторяя при необходимости отправку в отсутствие подтверждения о получении.

Некоторые параметры такой отправки можно изменить:

Таймаут повторной пересылки задержанного пакета (мс.) – время в миллисекундах, через которое ФПСУ-IP будет проводить повторную пересылку пакета, в отсутствие ответа от получателя;

Шаг увеличения таймаута (мс.) – с каждым разом повторной отправки пакета, время очередного повтора пересылки увеличивается на указанное в этом параметре количество миллисекунд.