Strumenti Linux per scegliere Cisco ASA 5500 adatto

-1

Ho un server di web hosting Linux che ha un alto DDOS. Voglio utilizzare Appliance di sicurezza adattativa Cisco serie ASA 5500 per proteggere il server linux da questo DDOS. So che ci sono molti fattori che dovresti sapere prima di scegliere il firewall hardware adatto come la quantità di questo DDOS e pps ..etc

Suggerire un tool linux per misurare questi fattori e per aiutarmi a raccogliere le informazioni richieste (pps - quantità di DDOS - connessioni simultanee e altri fattori)

Saluti,

    
posta linuxcore 04.06.2012 - 18:58
fonte

1 risposta

4

Avendo recentemente il mio 5510 abbattuto in un DDoS SYN-flood, la cosa fondamentale che devi sapere è quanto grande sarà il DDoS .

Il nostro ASA 5510 ha raggiunto il limite di 140.000 pacchetti al secondo. Sebbene le specifiche dicano 190.000 pacchetti al secondo, altri fattori possono influenzare il tasso effettivo raggiunto. La 5505 può gestire un numero inferiore di pacchetti al secondo rispetto al 5510. I modelli più alti possono gestire di più.

Potremmo avere le risorse nel back-end per gestire molte connessioni, ma dal momento che il firewall era il collo di bottiglia, non abbiamo mai potuto scoprirlo.

Ci sono altri tipi di DDoS e altri colli di bottiglia che puoi incontrare. Alcuni di questi richiedono molta larghezza di banda e meno pacchetti. Alcuni specificano come target la larghezza di banda in entrata o in uscita. Alcuni fanno relativamente poche richieste ma dal momento che stanno attaccando la tua applicazione piuttosto che la tua rete, bastano poche richieste.

Se hai intenzione di identificare gli indirizzi IP e di bloccarli sul tuo firewall, prima di eseguire gli hit DDoS ti serviranno alcune cose:

  1. Accesso fuori banda. Se interrompono la tua rete, non puoi inserire SSH o RDP. Assicurati di avere un altro modo per entrare. Ciò potrebbe includere una seconda rete interna in quanto l'attacco potrebbe essere stato rimosso la rete interna.
  2. Strumenti di analisi. Splunk e Graylog sono due opzioni con versioni gratuite. I buoni strumenti SIEM sono solitamente costosi ma più adatti all'attività. Il tuo obiettivo qui è verificare che sia in realtà un DDoS deliberato e trovare il modello che ti consente di estrarre gli indirizzi IP. Assicurati che tutti i tuoi log siano già in questi strumenti e hai familiarità con il loro utilizzo.
  3. Aggiornamenti del firewall eseguibili. Le reti Bot possono essere grandi. SYN-floods può avere indirizzi IP falsificati. Abbiamo visto oltre 100.000 utenti unici in un periodo di dieci minuti. Avrai bisogno di uno script che possa prendere un elenco di indirizzi IP e aggiungerli tutti al firewall. Vorrete anche questi in tabelle per evitare che il firewall debba esaminare tutte le 100.000 voci prima di consentire o negare un pacchetto.
  4. Relazioni pubbliche fuori banda. Avere un account Twitter ufficiale o una pagina Facebook o una mailing list (senza fare affidamento sulla tua rete principale) a cui i tuoi clienti si iscrivono, così puoi far loro sapere perché sei verso il basso.
  5. Un piano di backup. Se le tue ipotesi su ciò di cui potresti aver bisogno sono sbagliate o se non riesci a trovare il modello, sono disponibili servizi di protezione DDoS che possono subentrare ... a un prezzo. Assicurati di sapere quale di questi sceglieresti e sai come passare il controllo su di loro. Dovrai anche valutare il costo del tempo di inattività rispetto al costo del pagamento per la protezione. A seconda della tua attività, potrebbe essere meglio accettare i tempi di inattività.
risposta data 04.06.2012 - 21:42
fonte

Leggi altre domande sui tag