Come determinare i tassi di protezione DoS per il firewall

0

Sto cercando di abilitare la protezione DoS del mio firewall, e quando cerco valori da inserire nei campi rate, sto trovando che la risposta è solitamente "dipende". Mentre ci sono quasi sempre margini di miglioramento, spero di scoprire come impostare alcuni valori iniziali ragionevoli.

L'unità firewall offre protezione contro le inondazioni SYN, UDP, TCP e ICMP. I valori configurabili dall'utente sono:

  • Percentuale di pacchetti per fonte (pacchetto / min)
  • Burst rate per sorgente (pacchetto / sec)
  • Tariffa pacchetto per destinazione (pacchetto / min)
  • Burst rate per destinazione (pacchetto / sec)

Il valore predefinito per "burst rate" è di 100 pacchetti al secondo, e il valore predefinito "Packet rate" è 12000 pacchetti / min (200 pacchetti / sec). A quanto ho capito (1), la frequenza di burst è il limite al quale il dispositivo considera il traffico come un attacco DoS. La "velocità del pacchetto" è il limite posto sull'attaccante (determinato dall'IP) una volta raggiunta la velocità di burst.

Le impostazioni predefinite di cui sopra non sembrano avere senso, poiché dopo aver colpito il trigger burst, l'attacker è autorizzato a inviare il doppio dei pacchetti rispetto alla quantità inviata per colpire il trigger. Quindi, come andrei a determinare alcuni buoni valori di partenza?

Di seguito sono riportate le informazioni sulla rete a cui viene applicato - sebbene preferirei un approccio che si applicasse ad altre reti / dispositivi per riferimento futuro.

Collegamento WAN: simmetrico 20 MB / s

Rete interna: 1 GigE

Firewall: Sophos XG

(1) Sei incoraggiato a verificare la mia comprensione, la documentazione su questa funzione è disponibile qui:

link

    
posta DougC 21.03.2018 - 17:14
fonte

0 risposte

Leggi altre domande sui tag