Sto cercando di abilitare la protezione DoS del mio firewall, e quando cerco valori da inserire nei campi rate, sto trovando che la risposta è solitamente "dipende". Mentre ci sono quasi sempre margini di miglioramento, spero di scoprire come impostare alcuni valori iniziali ragionevoli.
L'unità firewall offre protezione contro le inondazioni SYN, UDP, TCP e ICMP. I valori configurabili dall'utente sono:
- Percentuale di pacchetti per fonte (pacchetto / min)
- Burst rate per sorgente (pacchetto / sec)
- Tariffa pacchetto per destinazione (pacchetto / min)
- Burst rate per destinazione (pacchetto / sec)
Il valore predefinito per "burst rate" è di 100 pacchetti al secondo, e il valore predefinito "Packet rate" è 12000 pacchetti / min (200 pacchetti / sec). A quanto ho capito (1), la frequenza di burst è il limite al quale il dispositivo considera il traffico come un attacco DoS. La "velocità del pacchetto" è il limite posto sull'attaccante (determinato dall'IP) una volta raggiunta la velocità di burst.
Le impostazioni predefinite di cui sopra non sembrano avere senso, poiché dopo aver colpito il trigger burst, l'attacker è autorizzato a inviare il doppio dei pacchetti rispetto alla quantità inviata per colpire il trigger. Quindi, come andrei a determinare alcuni buoni valori di partenza?
Di seguito sono riportate le informazioni sulla rete a cui viene applicato - sebbene preferirei un approccio che si applicasse ad altre reti / dispositivi per riferimento futuro.
Collegamento WAN: simmetrico 20 MB / s
Rete interna: 1 GigE
Firewall: Sophos XG
(1) Sei incoraggiato a verificare la mia comprensione, la documentazione su questa funzione è disponibile qui: