当使用 SRX(我们有一个 1400)来保护服务器时,我们可以为 DNS 创建一个 application-ddos 规则,但是如果我们想保护它免受诸如“SaAdmin”登录尝试之类的 SQL 攻击尝试怎么办?
在 JUNOS 指南中,它指出,
“注意:如果具有不同应用程序级 DDoS 应用程序的两个规则处理流向单个目标应用程序服务器的流量,则应用程序级拒绝服务(应用程序级 DDoS)检测将不起作用。”
这几乎就像您一次只能保护服务器免受一种协议的攻击一样。如果不是这样,它是如何完成的?我还没有看到 SRX IDP 的单个配置显示受多个应用程序/协议保护的特定目的地。如果您想保护您的网络服务器免受 HTTP 和 FTP 攻击,会发生什么?
我建议不要继续使用 AppDDoS。瞻博网络前段时间宣布弃用,这可能是您找不到许多使用它的可靠示例的原因:http : //kb.juniper.net/InfoCenter/index?page=content&id=KB28592&actp=search&viewlocale=en_US&searchid= 1374905420170
具有讽刺意味的是,KB 建议使用同样已封装的 DDos 安全产品。
要在一定程度上重现 AppDDoS 行为,您可以执行以下操作:
创建一个引用您专门搜索的协议(例如:SQL)的自定义攻击,然后选择一个上下文来匹配正常操作(例如:mssql-login)。然后你可以申请time-binding count 100它,这基本上意味着 - 如果你在一分钟内看到 100 个,这是一次攻击。范围变量确定:从单个source到多个目的地 (DoS),从多个源到单个destination(DDoS),或仅单个peer到单个目的地。
整个事情看起来像:
custom-attack SQL-DDOS {
recommended-action drop;
severity major;
time-binding {
count 100;
scope destination;
}
attack-type {
signature {
context mssql-login;
direction client-to-server;
protocol {
tcp {
destination-port {
match equal;
value 1433;
}
}
}
}
}
}
在 IPS 策略中引用您的攻击,并使该then术语类似于:
idp-policy FRONTEND-SERVICS {
rulebase-ips {
rule SQL-SERVER {
match {
application junos-ms-sql;
attacks {
custom-attacks SQL-DDOS;
}
}
then {
action {
drop-connection;
}
ip-action {
ip-block;
target source-address;
log;
timeout 60;
refresh-timeout;
}
}
}
}
}
这将对触发此攻击的任何源地址进行 ip-block 操作,持续 1 分钟,如果检测到来自同一源的任何进一步攻击(例如:它是一个愚蠢的机器人),每次都重新启动 60 秒计时器你看到一个。